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Die folgenden Angaben sind den vom Anmelder eingereichten Unterlagen entnommen 

(§) Kommunikationssystem und -Verfahren 
(57) Das erfindungsgemafce System umfafit ein virtuelles 
privates Netzwerk (15) und eine externe Vorrichtung 
(12(m», welche durch ein digitales Netzwerk (14) mitein- 
ander verbunden sind. Das virtuelle private Netzwerk (15) 
weist eine Firewall (30), wenigstens eine interne Vorrich- 
tung (31 (s)) und einen Namen-Server (32) auf r welche je- 
weilseine Netzwerkadresse besitzen. Die interne Vorrich- 
tung (31(s)) besitzt auch eine Sekundaradresse, und der 
Namen-Server (32) ist derart konfiguriert, daft er eine Zu- 
ordnung zwischen der Sekundaradresse und der Netz- 
werkadresse bereitstellt. In Reaktion auf eine Anfrage von 
der externen Vorrichtung (12(m)) zum Aufbau einer Ver- 
bindung zur Firewall (30) ubermittelt die Firewall (30) der 
externen Vorrichtung (12(m)) die Netzwerkadresse des 
Namen-Servers (32). In Reaktion auf eine Anfrage von ei- 
nem Bediener oder ahnlichem, welche die Sekundarad- 
resse der internen Vorrichtung (31 (s)) enthalt und. einen 
Zugriff an die interne Vorrichtung (31(s)) anfordert, er- 
| zeugt die externe Vorrichtung (12(m)) eine Netzwerk- 
adressen-Anfragenachrichtzur Ubertragung uber die Ver- 
bindung an die Firewall (30), welche eine Auflosung der 
Netzwerkadresse, die der Sekundaradresse zugeordnet 
ist, anfordert. Die Firewall (30) ubermittelt die Adressen- 
auflosungsanfrage an den Namen-Server (32), und der 
Namen-Server (32) ubermittelt die Netzwerkadresse, wel- 
che der Sekundaradresse zugeordnet ist, an die Firewall 
(30). Daraufhin stellt die Firewall (30) die Netzwerkadresse 
in einer ... 
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Beschreibung 

Die Erfindung betrifft allgemein das Gebiet der digitalen 
Kommunikationssysteme und -verfahren, und insbesondere 
Systeme und Verfahren zum Vereinfachen der Kommunika- 
tion zwischen Vorrichtungen, welche mit offentlichen Netz- 
werken verbunden sind, z. B. dem Internet, und Vorrichtun- 
gen, welche mit privaten Netzwerken verbunden sind. 

Digitate Netzwerke wurden entwickelt, um die Ubertra- 
gung von Information, welche auch Daten und Programme 
umfaBt, tiber digitale Computersysteme und andere Digital- 
vorrichtungen zu ermoglichem Es wurde eine Vielzahl von 
Arten von Netzwerken entwickelt und realisiert, einschlieB- 
lich sog. Fernverbindungsnetze (Wide- Area Networks, 
nachfolgend "WAN" genannt) und lokale Netzwerke (Local 
Area Networks, nachfolgend "LAN" genannt), welche eine 
Information unter Verwendung verschiedener Informations- 
ubcrtragungsmcthodcn ubcrmittcln. Irn allgemeinen wcrdcn 
LANs innerhalb kleiner geographischer Bereiche realisiert, 
z. B. innerhalb eines einzelnen Burogebaudes oder ahnli- 
chem, zum Ubertragen von Information innerhalb eines be- 
stimmten Buros, einer Fimia oder einer ahnlichen Art von 
Organisationseinheit. Andererseits werden WANs im allge- 
meinen auf relativ groBen geographischer Bereichen reali- 
siert und konnen verwendet werden, um Infonnation sowohl 
zwischen LANs als auch zwischen Vorrichtungen, welche 
nicht mit LANs verbunden sind, zu ubertragen. Derartige 
WANs umfassen auch offentliche Netzwerke, z. B. das In- 
ternet, welche zur Informationsiibertragung zwischen einer 
Anzahl von Unternehmen verwendet werden konnen. 

Es sind mehrere Problerne im Zusammenhang der Kom- 
munikation uber ein Netzwerk aufgetreten, insbesondere in 
einem groBen offentlichen WAN, wie es z. B. das Internet 
ist. Im allgemeinen werden Informationen uber ein Netz- 
werk in Nachrichtenpaketen ubertragen, welche ausgehend 
von einer Vorrichtung, als Quelle bzw. Quellenvorrichtung, 
zu einer anderen Vorrichtung, als Ziel bzw. Zielvorrichtung, 
uber einen oder mehrere Router oder allgemein Schaltungs- 
knoten im Netzwerk ubertragen werden. Jedes Nachrichten- 
paket enthalt eine Zieladresse, welche von den Schaltungs- 
knoten verwendet wird, um das jeweilige Nachrichtenpaket 
an die geeignete Zielvorrichtung zu leiten. Z.B. im Internet 
haben solche Adressen die Form von "n"-Bit Zahlen (wobei 
n n" 32 oder 128 sein kann), wobei solche Zahlenkolonnen 
fur einen Benutzer schwierig sind zu merken und einzuge- 
ben, wenn die oder der Benutzer die Ubertragung eines 
Nachrichtenpakets veranlassen mochte. Um einen Benutzer 
von der Notwendigkeit zu befreien, sich solche spezifische 
Zahlen-Internetadressen zu merken und einzugeben, stellt 
das Internet einen zweiten Adressierungsmechanismus be- 
reit, der durch Benutzer der jeweiiigen Vorrichtungen einfa- 
cher handzuhaben ist. Bei diesem Adressierungsmechanis- 
mus werden Internet-Domains, wie etwa LANs, Internet- 
Service-Provider (nachfolgend "ISP" genannt) und ahnli- 
che, welche im Internet verbunden sind, durch fur einen Be- 
nutzer relativ einfach les- und merkbare Namen identifiziert, 
die nachfolgend als "Klartextnamen" bezeichnet werden. 
Um den Einsatz von solchen Klartextnamen umzusetzen, 
werden Namen-Server, auch als DNS-Server fur "Domain 
Name Server" bezeichnet, bereitgestellt, um die Klartextna- 
men in die geeigneten Internetadressen umzuwandeln. 
Wenn ein Bediener einer Vorrichtung, der die Ubertragung 
eines Nachrichtenpakets an eine andere Vorrichtung 
wunscht, den Klartextnamen der anderen Vorrichtung ein- 
gibt, nimmt die Vorrichtung zucrst Kontakt mit cincm Na- 
men-Server auf. Im allgemeinen kann der Namen-Server ein 
Teil des ISP selbst sein oder er kann eine spezielle Vorrich- 
tung sein, welche durch den ISP uber das Internet zugang- 
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lich ist; in jedem Fall wird der ISP den Namen-Server iden- 
tifizieren, welcher fur die Vorrichtung zu verwenden ist, 
wenn sich die Vorrichtung beim ISP einloggt, d. h. anmel- 
det. Falls der Namen-Server, nachdem die Vorrichtung einen 
5 Kontakt hergestellt hat, eine Zahlen-Internetadresse fur den 
Klartext-Domainnamen besitzt oder erhalten kann, ubermit- 
telt der Namen-Server die Zahlen-Internetadresse, welche 
dem Klartext-Domainnamen entspricht, zu der Vorrichtung 
des Bedieners. Die Vorrichtung kann sodann die Zahlen-In- 
10 ternetadresse, welche von dem Namen-Server zuruckgesen- 
det wurde, in das Nachrichtenpaket einfugen und das Nach- 
richtenpaket an den ISP fur die Ubertragung iiber das Inter- 
net auf konventioneller Weise liefern. Die Internet-Schal- 
tungsknoten verwenden die Zahlen-Internetadresse, um das 
15 Nachrichtenpaket an die gewunschte Zielvorrichtung zu 
ubermitteln. 

Andere Problerne treten insbesondere in Verbindung mit 
der Ubertragung von Information iibcr cin offcntlichcs 
WAN, z. B. das Internet, auf. Ein Problem besteht darin, si- 
20 cherzustellen, daB die iiber das WAN ubertragene Informa- 
tion, welche die Quellenvorrichtung und die Zielvorrichtung 
vertraulich behalten mochten, auch tatsachlich vertraulich 
bleibt gegenuber moglichen Lauschern, welche die Informa- 
tion abfangen konnen. Um die Vertraulichkeit zu wahren, 

25 wurden verschiedene Formen von Verschlusselung enlwik- 
kelt und werden verwendet, um die Information vor der 
Ubertragung durch die Quellenvorrichtung zu verschlusseln 
und die Information nach deren Empfang durch die Zielvor- 
richtung zu entschlusseln. Falls gewunscht wird, daB bei- 

30 spielsweise die gesamte Information, welche zwischen einer 
bestimmten Quellenvorrichtung und einer bestimmten Ziel- 
vorrichtung ubertragen wird, vertraulich bleiben soil, kon- 
nen die Vorrichtungen einen sog. "Sicherheitstunnel" zwi- 
schen den Vorrichtungen einrichten, der im wesentlichen si- 
35 cherstellt, daB die gesamte Information, welche von der 
Quellenvorrichtung an die Zielvorrichtung ubertragen wird, 
vor der Ubertragung verschlusselt wird (mit Ausnahme von 
bestimmten Protokollinformationen, wie Adresseninforma- 
tion, welche den RuB von Netzpaketen uber das Netzwerk 
40 zwischen der Quellen- und Zielvorrichtung steuert), und daB 
die verschlusselte Information vor der Verwendung durch 
die Zielvorrichtung entschlusselt wird. Die Quellen- und 
Zielvorrichtungen konnen jeweils fur sich eine Verschliisse- 
lung bzw. Entschlusselung durchfuhren, oder die Verschlus- 
45 selung und Entschlusselung kann durch andere Vorrichtun- 
gen durchgefuhrt werden, bevor die Nachrichtenpakete uber 
das Internet ubertragen werden. 

Ein weiteres Problem, welches insbesondere im Zusam- 
menhang mit Unternehmen, Regierungsamtem und privaten 
50 Organisationen auftritt, deren private Netzwerke, welche 
LANs, WANs oder etwaige Kombinationen derselben sein 
konnen, mit offentlichen WANs, z. B. dem Internet, verbun- 
den sind, besteht darin, sicherzustellen, daB deren private 
Netzwerke sicher sind gegenuber anderen Netzwerken, zu 
55 welchen z. B. die Unternehmen keinen Zugriff haben moch- 
ten, oder einen Zugriff durch andere zu regulieren und zu 
kontrollieren, zu welchen z. B. die jeweiiigen Organisatio- 
nen einen begrenzten Zugriff haben mochten. Um dies um- 
zusetzen, verbinden die Organisationen in der Regel ihre 
60 privaten Netzwerke mit offentlichen WANs uber eine be- 
grenzte Anzahl von Gateways, welche manchmal als "Fire- 
walls" bezeichnet werden, durch welche der gesamte Netz- 
verkehr zwischen dem internen und dem offentlichen Netz- 
werk lauft. In der Regel sind Netzwerkadressen von Do- 
65 mains und Vorrichtungen in dem privaten Netzwerk "hintcr" 
der Firewall den Namen-Servem bekannt, welche in den pri- 
vaten Netzwerken vorgesehen sind; sie sind aber nicht zu- 
ganglich fur Namen-Server oder andere Vorrichtungen au- 
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Berhalb der privaten Netzwerke, was die Kom muni kali on 
zwischen einer Vorrichtung au Berhalb des privaten Netz- 
werkes und einer Vorrichlung innerhalb des privaten Netz- 
werkes schwierig macht. 

Ein Ziel der vorliegend Erfindung ist es, hier Abhilfe zu 
schaffen. 

Dieses Ziel erreicht die Erfindung durch die Gegenstande 
der Anspruche 1, 7 und 13. Bevorzugte Ausfuhrungsbei- 
spiele der Erfindung sind in den jeweils abhangigen Anspru- 
chen beschrieben. 

Danach schafFt die Erfindung ein neuartiges und verbes- 
sertes System und ein Verfahren zum Vereinfachen von 
Kommunikation zwischen Vorrichtungen, welche mit 6f- 
fentlichen Netzwerken, z. B. dem Internet, verbunden sind, 
und Vorrichtungen, welche mit privaten Netzwerken ver- 
bunden sind, wobei die Auflosung von Sekundaradressen, 
wie etwa Text- bzw. Klartextnamen im Internet, in die zuge- 
horigcn Nctzwcrkadrcsscn durch Namcn-Scrvcr odcr ahnli- 
che Vorrichtungen, die mit den privaten Netzwerken ver- 
bunden sind, ermoglicht wird. 

Hierfiir stellt die Erfindung ein System zur Verfugung mit 
einem virtuellen Privaten Netzwerk und einer externen Vor- 
richtung, welche durch ein digi tales Netzwerk miteinander 
verbunden sind, sowie ein Kommunikations verfahren und 
ein Compulerprograminprodukt zum gemeinsaiiien Verwen- 
den mit einem derartiges System. Das virtuelle private Netz- 
werk weisl eine Firewall bzw. ein Firewall-System, wenig- 
stens eine interne Vorrichtung und einen Namen-Server auf, 
welche jeweils eine Netzwerkadresse besitzen. Die interne 
Vorrichtung besitzt ferner eine Sekundaradresse, und der 
Namen-Server ist derart konfiguriert, daB er eine Zuordnung 
zwischen der Sekundaradresse und der Netzwerkadresse be- 
reitstellt. In Reaktion auf eine Anfrage von der externen 
Vorrichtung zum Aufbau einer Verbindung zur Firewall 
ubermittelt die Firewall der externen Vorrichtung die Netz- 
werkadresse des Namen-Servers. In Reaktion auf eine An- 
frage von einem Bediener oder ahnlichem, welche die Se- 
kundaradresse der internen Vorrichtung enthalt und einen 
Zugriff an die interne Vorrichtung anfordert, erzeugt die ex- 
terne Vorrichtung eine Netzwerkadressen-Anfragenachricht 
zur Ubertragung iiber die Verbindung an die Firewall, wel- 
che eine Auflosung der Netzwerkadresse, die der Sekunda- 
radresse zugeordnet ist, anfordert. Die Firewall ubermittelt 
die Adressenauflosungsanfrage an den Namen-Server und 
der Namen-Server ubermittelt die Netzwerkadresse, welche 
der Sekundaradresse zugeordnet ist, an die Firewall. Darauf- 
hin stellt die Firewall die Netzwerkadresse in einer Netz- 
werkadressenantwortnachricht zur Ubertragung iiber die 
Verbindung an die externe Vorrichtung bereit. Die externe 
Vorrichtung kann sodann die auf diese Weise bereitgestellte 
Netzwerkadresse in nachfolgenden an die interne Vorrich- 
tung gerichtete Kommunikationen mit der Firewall verwen- 
den. 

Weitere Vorleile und Ausgestaltungen der Erfindung erge- 
ben sich aus der nachfolgenden detaiilierten Beschreibung 
eines bevorzugten Ausfuhrungsbei spiels. In der Beschrei- 
bung wird auf die beigefugte schematische Zeichnung Be- 
zug genommen. Darin zeigt: 

Fig. 1 ein funktionelles Blockdiagramm eines erfindungs- 
gemaBen Netzwerkes. 

Fig. 1 zeigt ein funktionelles Blockdiagramm eines Netz- 
werkes 10, welches gemaB der vorliegenden Erfindung auf- 
gebaut ist. Das Netzwerk 10 gemaB Fig. 1 umfaBt einen In- 
ternet-Service-Provider (nachfolgend "ISP") 11, welcher die 
Ubertragung von Nachrichtcnpakctcn zwischen cincr odcr 
mehreren Vorrichtungen 12(1) bis 12(M) (nachfolgend all- 
gemeinen mit dem Bezugszeichen 12(rn) identifiziert), wel- 
che mit dem ISP 11 verbunden sind, und anderen Vorrich- 
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tungen, welche allgemein durch ein Bezugszeichen 13 ge- 
kennzeichnet sind, iiber das Internet 14 ermoglicht, wobei 
die Ubertragung von Information in Nachrichtenpaketen 
zwischen den Vorrichtungen 12(m) und 13 realisiert wird. 
5 Der ISP 11 verbindet das Internet 14 uber eine oder mehrere 
logische Verbindungen oder Gateways oder ahnlichem (im 
vorliegenden allgemein als "Verbindungen" bezeichnet), 
welche allgemein durch das Bezugszeichen 41 gekennzeich- 
net sind. Der ISP 11 kann ein offentlicher ISP sein, welcher 

10 in diesem Falle die Verbindung mit Vorrichtungen 12(m) 
herstellt, welche durch Bediener betrieben werden konnen, 
die der allgemeinen Offentlichkeit angehoren, so daB diese 
Bediener Zugang zu dem Internet erlangen. Alternativ dazu 
kann der ISP 11 ein privater ISP sein. In diesem Falle wer- 

15 den die damit verbundenen Vorrichtungen 12(rn) im allge- 
meinen beispielsweise durch Angestellte eines bestimmten 
Unternehmens oder einer Regierungseinrichtung, Mitglie- 
dcrn von cincr privaten Organisation odcr ahnlichcn betrie- 
ben, um diesen Angestellten oder Mitglieder einen Zugang 

20 in das Internet bereit zu stellen. 

In an sich konventioneller Weise weist das Internet ein 
Netz von Schaltungsknoten auf (welche nicht separat darge- 
stellt sind), welche die ISPs 11 und die Vorrichtungen 13 
miteinander verbinden, um dazwischen die Ubertragung 

25 von Nachrichtenpaketen zu ermoglichen. Die Nachrichten- 
pakete, welche iiber das Internet 14 ubertragen werden, 
stimmen mit denjenigen uberein, welche durch das sog. In- 
ternetprotokoll (IP) definiert werden. und umfassen einen 
Kopfabschnitt, einen Datenabschnitt und konnen einen Feh- 

30 lererfassungs- und/oder Korrekturabschnitt aufweisen. Der 
Kopfabschnitt enthalt Information, welche verwendet wird, 
um das Nachrichtenpaket uber das Internet 14 zu ubertra- 
gen, beispielsweise eine Zieladresse, welche die Vorrich- 
tung identifiziert, welche das Nachrichtenpaket als Zielvor- 

35 richtung empfangen soil, und eine Quellenadresse, welche 
diejenige Vorrichtung identifiziert, welche das Nachrichten- 
paket erzeugt hat. In jedem Nachrichtenpaket haben die 
Ziel- und Quellenadresse jeweils die Form einer Zahl, wel- 
che eindeutig die jeweilige Ziel- bzw. Quellenvorrichtung 

40 identifiziert. Die Schaltungsknoten im Internet 14 verwen- 
den wenigstens die Zieladresse eines jeweiligen Nachrich- 
tenpaketes, um das jeweilige Nachrichtenpaket an die Ziel- 
vorrichtung zu ubermitteln, wenn die Zielvorrichtung an das 
Internet angeschlossen ist, oder an einen ISP 11 oder andere 

45 Vorrichtungen, welche an das Internet 14 angeschlossen 
sind, welche sodann das Nachrichtenpaket an das geeignete 
Ziel senden werden. Der Datenabschnitt eines jeden Nach- 
richtenpakets enthalt die in dem Nachrichtenpaket ubertra- 
genen Daten; und der Fehlererfassungs- und/oder Korrek- 

50 turabschnitt enthalt Fehlererfassungs- und/oder Korrektur- 
in formation en, welche verwendet werden konnen. um zu 
verifizieren, daB das Nachrichtenpaket in korrekter Weise 
von der Quelle zu der Zielvorrichtung ubertragen wurde (im 
Fall der Fehlererfassungsinformation), und um ausgewahlte 

55 Arten von Fehlern zu korrigieren, falls das Nachrichtenpa- 
ket nicht korrekt ubertragen wurde (im Falle der Fehlerkor- 
rekturinformation). 

Die Vorrichtungen 12(m), welche mit dem ISP 11 verbun- 
den sind, konnen jede beliebige Anzahl von Arten von Vor- 

60 richtungen umfassen, welche iiber das Internet 14 mit ande- 
ren Vorrichtungen 13 kommunizieren, umfassend z. B. Per- 
sonalcomputer, Computer- Workstations und ahnliches. Jede 
Vorrichtung 12(m) kommuniziert mit dem ISP 11, um Nach- 
richtenpakete fiir die Ubertragung uber das Internet 14 an 

65 dicscn zu ubertragen, odcr um Nachrichtcnpakctc, welche 
durch den ISP 11 iiber das Internet empfangen werden, von 
diesem zu empfangen. Dabei kann jedes geeignete Protokoll 
verwendet werden, z. B. das bekannte Point-to-Point Proto- 
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koll (allgemein mil "PPP" abgekurzt), falls die Vorrichtung 
12(m) iiber eine Point-to-Point Verbindung mit dem ISP 11 
verbunden ist, oder irgendein konventionelles "Multi-Drop" 
Protokoll, falls die Vorrichtung 12(m) mit dern TSP 11 uber 
ein n Multi-Drop"-Netzwerk, z. B. das Ethernet, verbunden 
ist, oder ahnliches. Die Vorrichtungen 12(m) sind im allge- 
meinen entsprechend der ublichen Computerarchitektur mit 
gespeicherten Programrnen aufgebaut, welche z. B. eine Sy- 
stemeinheit, eine Bildschirmanzeigeeinheit und Bediener- 
eingabeeinrichtungen, wie etwa eine Tastatur oder eine 
Maus, umfaBt. Eine Systemeinheit weist im allgemeinen 
eine oder mehrere Prozessor-, Speicher-, Massenspeicher- 
einrichtungen, z. B. Festplatten- und/oder Bandspeicherele- 
mente, oder andere Elemente (nicht separat gezeigt) auf, wie 
etwa Netzwerk- und/oder Telephonschnittstelleneinrichtun- 
gen, um die jeweilige Vorrichtung an den ISP 11 anzukop- 
peln. Die Prozessor- bzw. Veraxbeitungseinrichtungen verar- 
bcitcn Programme, cinschlicSlich Anwcndungsprogrammc, 
unter der Steuerung eines Betriebssystems, um verarbeitete 
Daten zu erzeugen. Die Bildschirmeinheit ermoglicht es der 
Vorrichtung, die verarbeiteten Daten und einen Verarbei- 
tungsstatus der Daten dem Benutzer anzuzeigen, und die 
Bedienereingabeeinrichtung ermoglicht es dem Bediener, 
Daten einzugeben und die Verarbeitung zu steuern. 

Diese Elemente der Vorrichtung 12(in) arbeiten in Ver- 
bindung mit einer geeigneten Programmierung so zusam- 
men, um eine Vorrichtung 12(rn) mit einer Anzahl von funk- 
tionellen Elementen bereit zustellen, bei spiels weise eine 
Bedienerschnittstelle 20, eine Netzwerkschnitts telle 21, ei- 
nen Nachrichtenpaketgenerator 22, einen Nachrichtenpaket- 
empfanger und -prozessor 23, eine ISP Einloggsteuerung 
bzw. Anmeldungssteuerung 24, einen Internetparameter- 
speicher 25 und im Zusammenhang mit der vorliegenden 
Erfindung einen Sicherheits-Nachrichtenpaketprozessor 26. 
Die Bedienerschnittstelle 20 ermoglicht, daB die Vorrich- 
tung 12(m) Eingabeinformationen von der/den Bedienerein- 
gabevorrichtung(en) der Vorrichtung 12(m) empfangt und 
die Ausgabeinformationen dem Bediener auf der/den Bild- 
schirmeinrichtung(en) der Vorrichtung 12(m) angezeigt 
werden. Die Netzwerkschnittstelle 21 ermoglicht eine Ver- 
bindung der Vorrichtung 12(m) mit dem ISP 11 unter Ver- 
wendung des geeigneten PPP oder Netzwerkprotokolls, um 
Nachrichtenpakete an den ISP 11 zu ubertragen und von die- 
sem Nachrichtenpakete zu empfangen. Die Netzwerk- 
schnittstelle 21 kann eine Verbindung mit dem ISP 11 uber 
das offentliche Telefonnetz vorsehen, um einen Wahlverbin- 
dungsnetzwerkbetrieb (sog. Dial-Up Betrieb) der Vorrich- 
tung 12(m) uber das offentliche Telefonnetz zu ermogli- 
chen. Altemativ oder zusatzlich dazu kann die Netzwerk- 
schnittstelle 21 eine Verbindung durch den ISP 11 uber bei- 
spielsweise ein konventionelles LAN ermoglichen, wie 
etwa das Ethernet. In Reaktion auf eine durch die Bediener- 
schnittstelle 20 gelieferte Eingabe und/oder in Reaktion auf 
Anfragen aus Programrnen (nicht gezeigt), welche durch die 
Vorrichtung 12(m) verarbeitet werden, kominuniziert die 
ISP Einloggsteuerung 24 uber die Netzwerkschnittstelle 21, 
um die Initialisierung (sog. "Log-On") einer Kommunikati- 
onssitzung zwischen der Vorrichtung 12(m) und dem ISP 11 
zu ermoglichen. Wahrend dieser Kommunikationssitzung 
kann die Vorrichtung 12(m) Information in der Form von 
Nachrichtenpaketen an andere Vorrichtungen uber das Inter- 
net 14 sowie an andere Vorrichtungen 12(m') (wobei m' 
m), welche mit der ISP 11 oder mit anderen ISPs verbunden 
sind, ubertragen. Wahrend eines Log-On-Betriebs empfangt 
die ISP Einloggsteuerung 24 die Intcrnctprotokollparamctcr 
(IP-Parameter), welche im Zusammenhang mit einer Nach- 
richtenpaketerzeugung wahrend der Kommunikationssit- 
zung verwendet werden. 



Wahrend einer Kommunikationssitzung erzeugt der 
Nachrichtenpaketgenerator 22 Nachrichtenpakete zur Uber- 
tragung durch die Netzwerkschnittstelle 21 in Reaktion auf 
eine Eingabe, welche durch den Bediener uber die Bediener- 
5 schnittstelle 20 geliefen wird und/oder in Reaktion auf An- 
fragen aus Programrnen (nicht separat gezeigt), welche 
durch die Vorrichtung 12(m) verarbeitet werden. Die Netz- 
werkschnittstelle 21 empfangt auch Nachrichtenpakete aus 
dem ISP 11 und liefert diese an den Nachrichtenpaketemp- 
10 fanger und -prozessor 23 zur Verarbeitung und Bereitstel- 
lung an die Bedienerschnittstelle 20 und/oder anderen Pro- 
gramrnen (nicht gezeigt), welche durch die Vorrichtung 
12(m) verarbeitet werden. Falls die empfangenen Nachrich- 
tenpakete eine Information enthalten, z. B. Web-Seiten oder 
15 ahnliches, welche dem Bediener angezeigt werden soil, 
kann die Information der Bedienerschnittstelle 20 geliefert 
werden, damit die Information auf der Bildschirmeinheit der 
Vorrichtung angezeigt wird. Zusatzlich oder altcrnativ dazu 
kann die Information an andere Programme (nicht gezeigt) 
20 zur Verarbeitung geliefert werden, welche durch die Vor- 
richtung 12(m) verarbeitet werden. 

Im allgemeinen konnen die Elemente, wie die Bediener- 
schnittstelle 20, der Nachrichtenpaketgenerator 22, der 
Nachrichtenpaketempfanger und -prozessor 23, die ISP Ein- 
25 loggsteuerung 24 und der Internetparameterspeicher 25 Ele- 
mente eines konventionellen Internet-Browsers enthalten, 
wie die von Mosaic, Netscape Navigator und Microsoft In- 
ternet Explorer. 

Wie es oben erwahnt wurde, weist die Vorrichtung 12(m) 
30 im Zusammenhang mit der vorliegenden Erfindung einen 
Sicherheits-Nachrichtenpaketprozessor 26 auf. Der Sicher- 
heits-Nachrichtenpaketprozessor 26 ermoglicht den Aufbau 
und Verwendung eines "Sicherheitstunnels" zwischen der 
Vorrichtung 12(m) und anderen Vorrichtungen 12(m') (wo- 
35 bei m* ^ m) oder 13, wie es welches weiter unten beschrie- 
ben wird. Im allgemeinen wird in einem solchen Sicher- 
heitstunnel Information in wenigstens dem Datenabschnitt 
der zwischen der Vorrichtung 12 (m) und einer spezifischen 
anderen Vorrichtung 12(m') (wobei m' ^ m) oder 13 uber- 
40 tragenen Nachrichtenpakete geheimgehalten, beispielsweise 
durch Verschlusselung des Datenabschnittes vor der Uber- 
tragung durch die Quellen vorrichtung. Die Information in 
anderen Abschnitten eines derartigen Nachrichtenpakets 
kann ebenfalls geheimgehalten werden, mit Ausnahme der 
45 Information, welche benotigt wird, um die Ubertragung des 
jeweiligen Nachrichtenpakets zwischen den Vorrichtungen 
zu ermoglichen, also z. B. wenigstens die Zielinformation, 
damit die Schaltungsknoten des Internets und die ISPs die 
Vorrichtung identifizieren konnen, welche das Nachrichten- 
50 paket empfangen soil. 

Zusatzlich zu dem ISP 11 kann eine Vielzahl von anderen 
ISPs die Verbindung zum Internet herstellen, wie es durch 
die Pfeile 16 angedeutet ist, um eine Kommunikation zwi- 
schen Vorrichtungen, welche an diesen anderen ISPs ange- 
55 schlossen sind, mit anderen Vorrichtungen uber das Internet 
zu ermoglichen, welche die Vorrichtungen 12(n), welche an 
dem ISP 11 angeschlossen sind, umfassen konnen. 

Die Vorrichtungen 13, auf welche die Vorrichtungen 
12(m) zugreifen und mit welchen diese kommunizieren, 
60 konnen auch von jeder beliebigen Anzahl von Arten von 
Vorrichtungen sein, einschlieBlich Personalcomputer, Com- 
puter-Workstations und ahnliches, oder auch Minicomputer 
und GroBrechner, GroBspeichersysteme, Rechen server, lo- 
kale Netzwerke (LANs) und Fernverbindungsnetzwerke 
65 (WANs), welche dcrartigc Vorrichtungen und zahlrcichc an- 
dere Arten von Vorrichtungen enthalten, die direkt oder in- 
direkt mit den Netzwerken verbunden werden konnen. Nach 
der vorliegenden Erfindung umfaBt wenigstens eine der Vor- 
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richtungen wenigstens ein privates Netzwerk, welches als 
virtuelles privates Netzwerk 15 gekennzeichnel ist und z. B. 
die Form eines LAN oder eines WAN haben kann. Das vir- 
tuelle private Netzwerk 15 kann jede der Vorrichtungen 
12(m') (wobei m' # m) aufweisen (wobei die Verbindung 
zu dem Internet 14 uber einen ISP erfolgt) oder der Vorrich- 
tungen 13 (wobei die Verbindung zu dem Internet 14 unmit- 
telbar erfolgt). Bei dem vorliegend beschriebenen Ausfuh- 
rungsbeispiel wird angenommen, daft das virtuelle Netz- 
werk 15 eine Vorrichtung 13 aufweist. Das virtuelle private 
Netzwerk 15 umfaBt selbst rnehrere Vorrichtungen, welche 
hier als eine Firewall bzw. ein Firewall-System 30, rnehrere 
Server 31(1) bis 31 (S) (im nachfolgenden allgemein mit 
dem Bezugszeichen 31(s) angegeben) und ein Namen-Ser- 
ver 32 gekennzeichnet sind, wobei allesamt durch eine 
Ubertragungsverbindung 33 miteinander verbunden sind. 
Die Firewall 30 und die Server 31(s) konnen ahnlich sein 
wic jcdc der vcrschicdcncn Artcn von Vorrichtungcn 12(rn) 
und 13, die hier beschrieben sind, und konnen daher bei- 
spiels weise umfassen Personalcomputer, Computer- Work- 
stations und ahnliches, aber auch Minicomputer und GroB- 
rechner, GroBspeichersysteme, Rechenserver, lokale Netz- 
werke (LANs) und Fernverbindungsnetzwerke (WANs), 
welche derartige Vorrichtungen und zahlreiche andere Arten 
von VorrichLungen umfassen, welche direkt oder indirekt 
mit den Netzwerken verbunden werden konnen. 

Wie oben ausgefuhrt wurde, kommunizieren diese Vor- 
richtungen einschlieBlich der Vorrichtungen 12(rn) und der 
Vorrichtungen 13 durch Ubertragung von Nachrichtenpake- 
ten uber das Internet. Die Vorrichtungen 12(m) und 13 kon- 
nen Information in einem Peer-to-Peer bzw. gleichrangigem 
Modus, in einem Client-Server Modus oder nach beiden die- 
ser Modi ubertragen. Im allgemeinen ubertragt eine Vorrich- 
tung in einer Peer-to-Peer Nachrichtenpaketubertragung In- 
formation in einem oder rnehreren Nachrichtenpaketen an 
die andere Vorrichtung. Andererseits kann eine Vorrichtung. 
welche in einem Client-Server Modus als Client fungiert, 
ein Nachrichtenpaket an eine andere Vorrichtung ubertra- 
gen, welche als Server fungiert, urn beispiels weise einen 
Dienst durch die andere Vorrichtung auszulosen. Mehrere 
Arten derartiger Dienste sind dem Fachmann bekannt, bei- 
spielsweise das Wiedergewinnen bzw. Auslesen von Infor- 
mation aus der anderen \fcrrichtung, damit diese aktiviert 
wird, urn Verarbeitungsoperationen und dergleichen durch- 
zufuhren. Falls der Server dazu dient, dem Client vor allem 
Informationen zu liefern, kann dieser allgemein als ein Spei- 
cherserver bezeichnet werden. Falls der Server andererseits 
Verarbeitungsoperationen auf Anfrage des Client ausfiihren 
soil, kann dieser allgemein als ein Rechnerserver bezeichnet 
werden. Andere Arten von Servem zum Ausfiihren von an- 
deren Arten von Diensten und Operationen auf Anfrage von 
Clients sind dem Fachmann ebenfalls bekannt. 

Wenn in einer Client-Server Anordnung eine Vorrichtung 
12(m) einen Dienst durch beispielsweise eine Vorrichtung 
13 ausgefuhrt haben mochte, erzeugt die Vorrichtung 12(m) 
eines oder mehrere Anfragenachrichtenpakete zur Ubertra- 
gung an die Vorrichtung 13, welche den bendtigten Dienst 
anfordern. Das Anfragenachrichtenpaket enthalt die Inter- 
netadresse der Vorrichtung 13, welche als die Zielvorrich- 
tung das Nachrichtenpaket empfangt und den Dienst aus- 
fiihrt. Die Vorrichtung 12 (m) ubertragt das/die Anfragen- 
achrichtenpakete) an den ISP 11. Der ISP 11 iibertragt dar- 
aufhin das Nachrichtenpaket uber das Internet an die Vor- 
richtung 13. 

Falls die Vorrichtung 13 die Form cincs WAN oder LAN 
hat, empfangt das WAN oder LAN das/die Nachrichtenpa- 
ket(e) und leitet dieses/diese zu einer dort angeschlossenen 
Vorrichtung weiter, welche den angeforderten Dienst aus- 



fiihren soil. 

In jedem Fall wird die Vorrichtung 13, welche den ange- 
forderten Dienst ausfiihren soli, nach Empfang des/der An- 
fragenachrichtenpakete) die Anfrage hearbeiten. Falls die 
5 Vorrichtung 12(m), welche das/die Anfragenachrichtenpa- 
kete) erzeugt hat, oder deren Bediener die notwendigen Be- 
fugnisse hat, urn den Dienst von der Vorrichtung 13 anzufor- 
dern, und falls der angeforderte Dienst die Einleitung einer 
Informationsubertragung aus der Vorrichtung 13 als ein 
10 Speicherserver an die Vorrichtung 12(m) als ein Client um- 
faBt, erzeugt die Vorrichtung 13 eines oder mehrere Ant- 
wortnachrichtenpakete, welche die angeforderten Informa- 
tion enthalten, und iibertragt das/die Paket(e) uber das Inter- 
net 14 an den ISP 11. Daraufhin ubertragt der ISP 11 das/die 
15 Nachrichtenpaket(e) an die Vorrichtung 12(m). Falls ande- 
rerseits der angeforderte Dienst die Einleitung eines Verar- 
beitungsvorganges durch die Vorrichtung 13 als ein Rechen- 
server bcinhahct, wird die Vorrichtung 13 den/dic angefor- 
derten Rechendienst(e) ausfiihren. Falls die Vorrichtung 13 

20 verarbeitete Daten, welche wahrend den Rechenvorgangen 
erzeugt wurden, an die Vorrichtung 12(m) als Client zuriick- 
senden soli, erzeugt die Vorrichtung 13 zusatzlich eines oder 
mehrere Antwortnachrichtenpakete, welche die verarbeite- 
ten Daten enthalten und ubertragt das/die Paket(e) iiber das 

25 Internet 14 an den ISP 11. Der ISP 11 ubertragt daraufhin 
das/die Nachrichtenpaket(e) an die Vorrichtung 12(m). Ent- 
sprechende Operationen konnen durch die Vorrichtungen 
12(m) und 13, dem ISP 11 und dem Internet 14 in Verbin- 
dung mit anderen Arten von Diensten ausgefuhrt werden, 

30 welche durch die Server- Vorrichtungen 13 bereitgestellt 
werden konnen. 

Wie oben angemerkt wurde, enthalt jedes Nachrichtenpa- 
ket, welches durch die Vorrichtungen 12(nt) und 13 zur 
Ubertragung uber das Internet 14 erzeugt wird. eine Ziel- 

35 adresse,welche von den Schaltungsknoten verwendet wird, 
um das jeweilige Nachrichtenpaket an die geeignete Ziel- 
vorrichtung zu lei ten. Adressen im Internet haben die Form 
von "n"-Bit Zahlen (wobei f, n M beim gegenwartigen Stan- 
dard 32 oder 128 sein kann). Um insbesondere einen Bedie- 

40 ner einer Vorrichtung 12(m) von der Notwendigkeit zu be- 
freien, sich spezifische Zahlenkolonnen bzw. Zahlen-Inter- 
netadressen zu merken und diese der Vorrichtung 12(m) ein- 
zugeben, um die Erzeugung eines Nachrichtenpakets zur 
Ubertragung uber das Internet einzuleiten, stellt das Internet 

45 einen zweiten Adressierungsmechanismus zur Verfugung, 
welcher einfacher durch rnenschliche Bediener der jeweili- 
gen Vorrichtungen handhabbar ist. Bei diesem Adressie- 
rungsmechanismus werden Internet-Domains, wie etwa 
LANs, Internet-Service-Provider (ISPs) und ahnliche, wel- 

50 che in bzw. mit dem Internet verbunden sind, durch relativ 
einfach les- und merkbare Namen, sog. Klartext namen, 
identifiziert. Dabei soli sich hier die Bezeichnung "Klartext- 
name" auf jede Art von Namenstext beziehen, z. B. auch auf 
Abkiirzungen, generische Bezeichnungen, Phantasiebe- 

55 griffe, etc. Um das System der Klartext-Domain namen um- 
zusetzen, ist der ISP 11 mit einem Namen-Server 17 (der 
auch als ein DNS Server (Domain Name Server) bezeichnet 
werden kann) verbunden, welcher die Klartext-Domainna- 
men auflosen bzw. in eine gultige Internetadresse umwan- 

60 deln kann, um die geeignete Internetadresse fur das in dem 
jeweiligen Klartextnarnen angegebene Ziel bereitzustellen. 
Im allgemeinen kann der Namen-Server ein Teil des ISP 11 
oder damit direkt verbunden sein, wie es in Fig. 1 gezeigt 
ist, oder er kann eine bestimmte Vorrichtung sein, welche 

65 durch den ISP uber das Internet zuganglich ist. Jcdcn falls 
wenn sich die Vorrichtung 12(m) bei dem ISP U wahrend 
einer Kommunikationssitzung einloggt, wird der ISP 11, 
wie oben hingewiesen wurde, verschiedene Intemet-Proto- 
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kollparameter (IP-Parameter) zuordnen, welche die Vorrich- 
tung 12(m) wahrend der Kommunikationssitzung verwen- 
det, und welche in dem Intemetparameterspeicher 25 ge- 
speichert sind. Diese TP-Parameter ent.halt.en Inform ationen, 
wie 

(a) eine Internetadresse fur die Vorrichtung 12(m), 
welche die Vorrichtung 12(m) wahrend der Kommu- 
niationssitzung identifiziert; und 

(b) die Identifizierung eines Namen-Servers 17, wel- 
chen die Vorrichtung 12(m) wahrend der Kommunika- 
tionssitzung verwendet. 

Wenn die Vorrichtung 12(m) Nachrichtenpakete zur 
Ubertragung erzeugt, fugt sie ihre Internetadresse (obiger 
Punkt (a)) als die Quellenadresse ein. Die Vorrichtung(en) 

13, welche die jeweiligen Nachrichtenpakete empfangt/ 
cmpfangcn, kann/konncn die Quellenadresse aus den Nach- 
richtenpaketen, welche von der Vorrichtung 12(m) empfan- 
gen werden, in Nachrichtenpaketen verwenden, welche die 
Vorrichtung(en) 13 zur Ubertragung an die Vorrichtung 
12(m) erzeugt/erzeugen, so daB das Internet in der Lage ist, 
die durch die jeweilige Vorrichtung 13 erzeugten Nachrich- 
tenpakete an die Vorrichtung 12(m) zu leiten. Falls die Vor- 
richtung 12(m) auf den Namen-Server 17 uber das Internet 
14 zugreift, hat die durch den ISP 11 bereitgestellte Identifi- 
zierung des Namen-Servers 17 (siehe oben unter (b)) die 
Form einer Zahlen-Internetadresse. welche es der Vorrich- 
tung 12(m) ermoglicht, fur den Namen-Server 17 Nachrich- 
ten zu erzeugen, welche eine Auflosung der Klartext-Inter- 
netadressen in Zahlen-Internetadressen anfordern. Der ISP 
11 kann der Vorrichtung 12(m) auch andere IP-Parameter 
zuordnen, wenn diese sich beim ISP 11 einloggt, beispiels- 
weise die Identifizierung einer Verbindung zu dem Internet 

14, welche fur Nachrichten zu verwenden ist, die durch die 
Vorrichtung 12(m) ubersandt werden, insbesondere falls der 
ISP 11 Mehrfach-Gateways aufweist. In der Regel speichert 
die Vorrichtung 12(rn) die Internetparameter im Internetpa- 
rameterspeicher 25 fur die Verwendung wahrend der Kom- 
munikationssitzung. 

Wenn ein Bediener die Vorrichtung 12(m) veranlassen 
mochte, daB sie ein Nachrichtenpaket an eine Vorrichtung 
13 ubertragt gibt der oder die Bediener(in) die Internet- 
adresse der Vorrichtung 13 an die Vorrichtung 12(m) uber 
die Bedienerschnittstelle 20 ein, sowie eine Information 
oder die Identifizierung der in der Vorrichtung 12(m) aufbe- 
wahrten Information, welche in der Nachricht iiberragen 
werden sollen. Die Bedienerschnittstelle 20 aktiviert darauf- 
hin den Paketgenerator 22 zur Freigabe der benotigten Pa- 
kete zur Ubertragung durch den ISP 11 liber das Internet 14. 
Falls 

(i) der Bediener die Zahlen-Internetadresse bereitge- 
stellt hat, oder 

(ii) der Bediener die Klartext-Internetadresse bereitge- 
stellt hat, aber der Paketgenerator 22 bereits die Zah- 
len-Internetadresse besitzt, welche der durch den Be- 
diener eingegebenen Klartext-Internetadresse 
spricht, 



ent- 



kann der Paketgenerator 22 unmittelbar nach Aktivierung 
durch die Bedienerschnittstelle 20 die Pakete erzeugen und 
diese an die Netzwerkschnittstelle 21 zur Ubertragung an 
den ISP 11 liefem. 

Falls abcr der Bediener die Klartcxt-Intcrnctadrcssc der 
Vorrichtung 13, an welche die Pakete zu ubertragen sind, 
eingegeben hat, und falls der Paketgenerator 22 die entspre- 
chende Zahlen-Internetadresse davon nicht bereits besitzt, 



ermoglicht es der Paketgenerator 22, daB die Netzwerk- 
adresse von dem Namen-Server 17, der in dem IP- Par am e- 
terspeicher 25 identifiziert ist, erhalten wird. 

Bei diese m Vorgang wird der Paketgenerator 22 antang- 
5 lich den Namen-Server 17 kontaktieren, urn zu versuchen, 
die geeignete Zahlen-Internetadresse von dem Namen-Ser- 
ver 17 zu erhalten. Bei diesem Vorgang wird die Vorrichtung 
12(m) geeignete Nachrichtenpakete zur Ubertragung an den 
Namen-Server 17 unter Verwendung der Zahlen-Internet- 

10 adresse des Namen-Servers 17 erzeugen, welche durch den 
ISP 11 bereitgestellt wird, wenn sich die Vorrichtung 12(m) 
zu Beginn der Kommunikationssitzung einloggt. Jeden falls 
wenn der Namen-Server 17 die Zahlen-Intemetadresse fur 
den Klartextnamen besitzt oder erhalten kann, wird der Na- 

15 men-Server 17 die Zahlen-Internetadresse an die Vorrich- 
tung 12(ni) ubermitteln. Die Zahlen-Internetadresse wird 
durch den Paketgenerator 22 uber die Netzwerkschnittstelle 
21 und den Pakctcmpfangcr und -prozessor 23 cmpfangcn. 
Nachdem der Paketgenerator 22 die Zahlen-Internetadresse 

20 empfangen hat, kann er die notwendigen Nachrichtenpakete 
zur Ubertragung an die Vorrichtung 13 durch die Netzwerk- 
schnittstelle 21 und den ISP 11 erzeugen. 

Wie oben ausgefuhrt wurde, ist in Fig. 1 eine der Vorrich- 
tungen 13, welche an das Internet 14 angeschlossen sind, ein 

25 virtuelles privates Netzwerk 15, wobei das virtuelle privale 
Netzwerk 15 eine Firewall bzw. ein Firewall-System 30, 
mehrere als Server 31(s) gekennzeichnete Vorrichtungen 
und einen Namen-Server 32 aufweist, die durch eine Uber- 
tragungsverbindung 33 miteinander verbunden sind. Die 

30 Server 31(s), die Firewall 30 und der Namen-Server 32 kon- 
nen als z. B. in ein em LAN oder WAN verbundene Vorrich- 
tungen untereinander Information in Form von Nachrichten- 
paketen austauschen. Da die Firewall 30 nut dem Internet 14 
verbunden ist und daruber Nachrichtenpakete empfangen 

35 kann, hat sie auch eine Internetadresse. Zusatzlich haben 
wenigstens die Server 31 (s), welche iiber das Internet zu- 
ganglich sind, auch jeweilige Internetadressen. Dabei dient 
der Namen-Server 32 der Umwandlung von Klartext-Inter- 
netadressen fiir die Server 31(s) innerhalb des virtuellen pri- 

40 vaten Netzwerkes 15 in die jeweiligen Zahlen-Internetadres- 
sen. 

Im allgemeinen wird das virtuelle private Netzwerke 15 
von einem Untemehrnen, einem Regierungsamt, einer Orga- 
nisation oder ahnlichem gehalten, welche mochten, daB die 

45 Server 31 (s) Zugriff auf andere 'Vorrichtungen auBerhalb des 
virtuellen privaten Netzwerkes 15 haben und an diese Infor- 
mation iiber das Internet 14 ubertragen konnen, aber welche 
ebenfalls mochten, daB der Zugriff an die Server 31(s) durch 
Vorrichtungen 12(m) und andere externe Vorrichtungen 

50 iiber das Internet 14 in einer kontrollierten Weise begrenzt 
ist. Die Firewall 30 dient dazu, den Zugriff durch Vorrich- 
tungen auBerhalb des virtuellen privaten Netzwerkes 15 auf 
Server 31 (s) innerhalb des virtuellen privaten Netzwerkes 
15 zu kontrollieren. Bei diesem Vorgang stellt die Firewall 

55 30 auch die Verbindung zum Internet 14 her und empfangt 
Nachrichtenpakete daruber zur Ubertragung an einen Server 
31(s). Falls das Nachrichtenpaket angibt, daB die Quelle des 
Nachrichtenpaketes einen Zugriff auf einen bestimmten Ser- 
ver 31(s) anfordert, und falls die Quelle fur den Zugriff an 

60 den Server 31(s) authorisiert ist, sendet die Firewall 30 das 
Nachrichtenpaket uber die Ubertxagungsverbindung 33 an 
den Server 31(s). Falls andererseits die Quelle nicht authori- 
siert ist, auf den Server 31(s) zuzugreifen, wird die Firewall 
30 das Nachrichtenpaket nicht an den Server 31(s) ubersen- 

65 den, und kann anstcllc ein Antwortnachrichtcnpakct an die 
Quellenvorrichtung ubermitteln, welches angibt, daB die 
Quelle nicht fur den Zugriff an den Server 31(s) authorisiert 
ist. Die Firewall kann ahnlich aufgebaut sein wie die ande- 
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ren Vorrichtungen 31(s) in dem virtuellen privaten Netz- 
werk 15, wobei zusatzlich eine oder mehrere Verbindungen 
mit dern Internet vorhanden sind, welche allgemein durch 
das Bezugszeichen 43 gekennzeichnel. sind. 

Kommunikationen zwischen Vorrichtungen auBerhalb 
des virtuellen privaten Netzwerkes 15, z. B. der Vorrichtung 
12(m), und einer Vorrichtung, z. B. einem Server 31(s), in- 
nerhalb des virtuellen privaten Netzwerkes 15 kann uber ei- 
nen Sicherheitstunnel zwischen der Firewall 30 und der ex- 
ternen Vorrichtung, wie es oben beschrieben ist, erreicht 
werden, damil die ausgetauschten Information geheim blei- 
ben, wahrend diese iiber das Internet 14 und durch den ISP 
11 ubertragen werden. Ein Sicherheitstunnel zwischen der 
Vorrichtung 12(m) und dem virtuellen privaten Netzwerk 15 
ist in Fig. 1 durch logische Verbindungen dargestellt, welche 
durch die Bezugszeichen 40, 42 und 44 gekennzeichnel 
sind; es versteht sich. daB die logischen Verbindung 42 eine 
der logischen Verbindungen 41 zwischen dem ISP 11 und 
dem Internet 14 und die logische Verbindung 44 eine der lo- 
gischen Verbindungen 43 zwischen dem Internet 14 und der 
Firewall 30 umfaBt. 

Der Aufbau eines Sicherheitstunnels kann durch eine 
Vorrichtung 12(m), die extern zu dem virtuellen privaten 
Netzwerk 15 ist, ausgelost werden. Bei diesem Vorgang er- 
zeugl die Vorrichtung 12(m) in Reaklion auf eine AulTorde- 
rung durch deren Bediener ein Nachrichtenpaket zur Uber- 
tragung durch den ISP 11 und das Internet 14 an die Firewall 
30, welches den Aufbau eines Sicherheitstunnels zwischen 
der Vorrichtung 12(m) und der Firewall 30 anfordert. Das 
Nachrichtenpaket kann an eine bestimrnte Zahlen-Internet- 
adresse gerichtet sein, welche der Firewall 30 zugeordnet ist 
und welche fur Sicherheiistunnelaufbauanfragen reserviert 
ist, und welche ferner der Vorrichtung 12(m) bekannt ist und 
durch den Namen-Server 17 bereitgestellt wird. Falls die 
Vorrichtung 12(m) authorisiert ist, auf einen Server 31(s) in 
dem virtuellen privaten Netzwerk 15 zuzugreifen, nehmen 
die Vorrichtung 12(m) als Client und die Firewall 30 einen 
Dialog auf, welcher den Austausch von einem oder mehre- 
ren Nachrichtenpaketen iiber das' Internet 14 umfaBt. Wah- 
rend des Dialogs kann die Firewall 30 der Vorrichtung 
12(m) die Identifizierung eines Entschlusselungsalgorith- 
mus und einen zugehorigen Entschliisselungsschlussel be- 
reitstellen, welche die Vorrichtung 12(m) beim Entschliis- 
seln der verschlusselten Abschnitte der Nachrichtenpakete 
zu verwenden hat welche das virtuelle private Netzwerk an 
die Vorrichtung 12(m) ubertragt. Zusatzlich dazu kann die 
Firewall 30 der Vorrichtung 12(m) auch die Identifizierung 
eines Verschlusselungsalgorithmus und einen zugehorigen 
Verschlusselungsschlussel bereitstellen, welche die Vorrich- 
tung 12(m) beim Verschliisseln der Abschnitte der Nach- 
richtenpakete zu verwenden hat. welche die Vorrichtung 
12(m) an das virtuelle private Netzwerk 15 ubertragt und 
welche verschlusselt werden sollen. Altera ativ dazu kann 
die Vorrichtung 12(m) die Identifizierung des Verschlussel- 
ungsalgorithmus und des Verschlusselungsschliissels, wel- 
che die Vorrichtung 12(m) verwenden wird, an die Firewall 
30 wahrend des Dialogs liefern. Die Vorrichtung 12(m) 
kann in ihrem IP-Parameterspeicher 25 Informationen be- 
treffend den Sicherheitstunnel speichern, einschlieBlich der 
Information in Verbindung mit der Identifizierung der Fire- 
wall 30 und der Identifizierungen der Verse hlusselungs- und 
Entschlusselungsalgorithmen und dazugehoriger Schliissel 
fiir Nachrichtenpakete, welche durch den Sicherheitstunnel 
ubertragen werden. 

Sodann konncn die Vorrichtung 12(m) und die Firewall 
30 Nachrichtenpakete uber den Sicherheitstunnel ubertra- 
gen . Beim Erzeugen von Nachrichtenpaketen zur Ubertra- 
gung iiber den Sicherheitstunnel verwendet die Vorrichtung 



12 

12(m) den Sicherheits-Paketprozessor 26, urn die Ab- 
schnitte der Nachrichtenpakete zu verschliisseln, welche vor 
der Ubertragung durch die Netzwerkschnitts telle 21 an den 
TSP 11 zur Ubertragung uber das Tnlernel 14 an die Firewall 
5 30 verschlusselt werden sollen, und um die verschlusselten 
Abschnitte der Nachrichtenpakete zu entschlusseln, welche 
durch die Vorrichtung 12(m) empfangen werden und welche 
verschlusselt sind. Insbesondere nachdem der Paketgenera- 
tor 22 ein Nachrichtenpaket zur Ubertragung an die Firewall 

10 30 uber den Sicherheitstunnel erzeugt hat, lief en. er das 
Nachrichtenpaket an den Sicherheits-Paketprozessor 26. 
Der Sicherheits-Paketprozessor 26 verschlusselt daraufhin 
die Abschnitte des Nachrichtenpakets, welche verschlusselt 
werden sollen, unter Verwendung des Verschlusselungsal- 

15 gorithmus und des Verschlusselungsschliissels. Nachdem 
die Firewall 30 ein Nachrichtenpaket von der Vorrichtung 
12(m) iiber den Sicherheitstunnel empfangen hat, wird sie 
dieses cntschliisscln und, falls der bcabsichtigtc Ernpfangcr 
des Nachrichtenpakets eine andere Vorrichtung, z. B. ein 

20 Server 31(s), in dem virtuellen privaten Netzwerk 15 ist, 
wird die Firewall 30 das Nachrichtenpaket an diese andere 
Vorrichtung uber die Ubertragungsverbindung 33 ubertra- 
gen. 

Wenn ein Nachrichtenpaket von einer Vorrichtung, z. B. 

25 einem Server 31 (s), in dem virtuellen privaten Netzwerk 15 
an die Vorrichtung 12(m) iiber den Sicherheitstunnel uber- 
tragen werden soil, empfangt die Firewall 30 ein solches 
Nachrichtenpaket Uber die Ubertragungsverbindung 33 und 
verschlusselt das Nachrichtenpaket zur Ubertragung uber 

30 das Internet 14 an den ISP 11. Der ISP 11 sendet daraufhin 
das Nachrichtenpaket an die Vorrichtung 12(m), insbeson- 
dere an deren Netzwerkschnittstelle 21. Die Netzwerk- 
schnittstelle 21 liefert das Nachrichtenpaket an den Sicher- 
heits-Paketprozessor 26, welcher die verschlusselten Ab- 

35 schnitte des Nachrichtenpakets unter Verwendung des Ent- 
schlusselungsalgorithmus und -schliissels entschliisselt. 

Ein Problem tritt auf im Zusammenhang mit Zugriffen 
durch eine Vorrichtung, z. B. einer Vorrichtung 12(m), wel- 
che extern zum virtuellen privaten Netzwerk 15 ist, und ei- 

40 ner Vorrichtung, z. B. einem Server 31(s), welche extern zu 
der Firewall ist, namlich dann, wenn dem Namen-Server 17 
keine Zahlen-Internetadressen fur die Server 31(s) und an- 
dere Vorrichtungen bereitgestellt sind, die sich innerhalb des 
virtuellen privaten Netzwerkes 15 befinden - mit Ausnahme 

45 der Zahlen-Internetadressen, welche der Firewall 30 zuge- 
ordnet sind. Folglich wird die Vorrichtung 12(m) nach Ein- 
gabe der Klartext-Internetadresse durch den Bediener nicht 
in der Lage sein, die Zahlen-Internetadresse des Servers 
31(s) zu erhalten, wenn er auf den Namen-Server 17 zu- 

50 greift. 

Wenn die Vorrichtung 12(m) und die Firewall 39 zusam- 
menarbeiten, um einen dazwischenliegenden Sicherheits- 
tunnel aufzubauen, liefert die Firewall 30 zur Behebung des 
obigen Problems an die Vorrichtung 12(m) zusatzlich zu 

55 moglichen Identifikationen der Verschliisselungs- und Ent- 
schlusselungsalgorithmen und -schliisseln, welche im Zu- 
sammenhang mit der Ubertragung der Nachrichtenpakete 
iiber den Sicherheitstunnel zu verwenden sind, an die Vor- 
richtung 12(m) auch die Identifizierung eines Narnen-Ser- 

60 vers, z. B. eines Namen- Servers 32, innerhalb des virtuellen 
privaten Netzwerkes 15, auf welchen die Vorrichtung 12(m) 
zugreifen kann, um die geeigneten Zahlen-Internetadressen 
fur die Klartext-Internetadressen zu erhalten, welche durch 
den Bediener einer Vorrichtung 12(m) eingegeben werden. 

65 Die Identifizierung des Namcn-Scrvcrs 32 wird cbcnfalls in 
dem IP-Parameterspeicher 25 gespeichert, zusammen mit 
der Identifizierung des Namen-Servers 17, welche durch den 
ISP 11 bereitgestellt wurde, sobald die Vorrichtung 12(m) 
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beim ISP 11 zu Beginn einer Kornrnunikationssitzung ein- 
geloggt wurde. Wenn daher die Vorrichtung 12(m) ein 
Nachrichtenpaket an eine Vorrichtung, z. B. einen Server 
31(s), in dem virtuellen privaten Netzwerk 15 unter Verwen- 
dung einer Klartext-Internetadresse ubertragen mochte, wel- 
che z. B. durch einen Bediener bereitgestellt bzw. eingege- 
ben wurde, greif t die Vorrichtung 12(m) zu Beginn auf den 
Namen-Server 17 zu, wie es oben beschrieben wurde, um zu 
versuchen, die zu der Klartext-Internetadresse zugehorige 
Zahlen-Intemetadresse zu erhalten. Da der Namen-Server 
17 auBerhalb des virtuellen privaten Netzwerkes 15 ist und 
die durch die Vorrichtung 12(m) angeforderten Information 
nicht besitzt, sendet er ein entsprechend lautendes Antwort- 
nachrichtenpaket. Die Vorrichtung 12(m) wird sodann ein 
Anfragenachrichtenpaket zur Ubertragung an den Namen- 
Server 32 durch die Firewall 30 und iiber den Sicherheits- 
tunnel erzeugen. Falls der Namen-Server 32 eine Zahlen-In- 
tcrnctadrcssc besitzt, wclchc zu der Klartcxt-Intcrnctadrcssc 
in dem Anfragenachrichtenpaket gehdrt, welches durch die 
Vorrichtung 12(m) geliefert wird, stellt er die Zahlen-Inter- 
netadresse in einer Weise bereit, welche im allgemeinen der- 
jenigen ahnlich ist, welche oben im Zusammenhang mit 
dem Namen-Server 17 beschrieben wurde mit der Aus- 
nahme, daB die Zahlen-Intemetadresse durch den Namen- 
Server 32 in einem an die Firewall 30 gerichteten Nachrich- 
tenpaket geliefert wird, und die Firewall 30 sodann das 
Nachrichtenpaket iiber den Sicherheitstunnel an die Vorrich- 
tung 12(m) ubermittelt. Es versteht sich, daB sich in dem 
Nachrichtenpaket, welches durch die Firewall 30 ubertragen 
wird, die Zahlen-Internetadresse in dem Nachrichtenpaket 
im Datenabschnitt des Nachrichtenpakets befindet, welches 
iiber den Sicherheitstunnel ubertragen wird und entspre- 
chend verschliisselt sein wird. Das Nachrichtenpaket wird 
durch die Vorrichtung 12(m) in einer ahnlichen Weise verar- 
beitet, wie sie oben im Zusammenhang mit anderen Nach- 
richtenpaketen beschrieben wurde, welche durch die Vor- 
richtung 12(m) iiber den Sicherheitstunnel empfangen wer- 
den. Das heiBt, daB das Nachrichtenpaket durch den Sicher- 
heits-Paketprozessor 26 vor dem Obermitteln an den Paket- 
empfanger und -prozessor 23 zur Verarbeitung entschlusselt 
wird. Die Zahlen-Intemetadresse fur den Server 31(s) kann 
in einem Cache in einer Zugriffskontrolliste (ACL) in dem 
IP-Parameterspeicher 25 gespeichert werden, zusammen 
mit der Zuordnungsinformation beziiglich der zugehorigen 
Klartext-Internetadresse, einer Angabe, daB der Server 

31 (s), der dieser Klartext-Internetadresse zugeordnet ist, 
iiber die Firewall 30 des virtuellen privaten Netzwerkes 15 
zuganglich ist, und die Identifizierungen der Verschlussel- 
ungs- und Entschlusselungsalgorithmen und -schliissel, wel- 
che fur eine Verschlusselung und Entschliisselung der geeig- 
neten Abschnitte der Nachrichtenpakete zu verwenden sind, 
welche an den Server 31(s) ubertragen und von diesem er- 
halten werden. 

Es versteht sich, daB in Reaktion auf ein Nachrichtenpa- 
ket von der Vorrichtung 12(m), welches beim Namen-Server 

32 die Bereitstellung einer Zahlen-Internetadresse fur eine 
durch die Vorrichtung 12(m) angegebene Klartext-Internet- 
adresse anfordert, falls der Namen-Server 32 keine Zuord- 
nungsinformation zwischen der Klartext-Internetadresse 
und einer Zahlen-Intemetadresse besitzt, der Namen-Server 
32 ein Antwortnachrichtenpaket, das entsprechend lautet, 
ubertragen kann. Falls die Vorrichtung 12(m) eine Identifi- 
zierung von anderen Namen-Servern besitzt, welche z. B. 
mit anderen virtuellen privaten Netzwerken (nicht gezeigt) 
verbunden scin konncn und zu wclchcn die Vorrichtung 
12(m) Zugriff hat, dann kann die Vorrichtung 12(m) versu- 
chen, auf die anderen Namen-Server in einer ahnlichen 
Weise, wie es oben beschrieben ist, zuzugreifen. Falls die 



Vorrichtung 12(m) nicht in der Lage ist, eine Zahlen-Inter- 
netadresse, welche der Klartext-Internetadresse zugeordnet 
ist, von irgendeinern der Namen-Server zu erhalten, zu wel- 
chem sie Zugriff hat und welche im allgemeinen im TP-Para- 
5 meterspeicher 25 der Vorrichtung 12(m) identifiziert sind, 
wird sie allgemein nicht in der Lage sein, auf eine Vorrich- 
tung mit der vorgegebenen Klartext-Internetadresse zuzu- 
greifen und wird den Bediener oder ein Programm, welche 
den Zugriff angefordert haben, dementsprechend unterrich- 
io ten. 

Mit diesem Hintergrund werden nun Operationen, welche 
durch die Vorrichtung 12(m) und das virtuelle private Netz- 
werk 15 in Verbindung mit der vorliegenden Erfindung 
durchgefuhrt werden, im Detail beschrieben. Im allgemei- 
15 nen laufen die Operationen in zwei Phasen ab. In einer er- 
sten Phase arbeiten die Vorrichtung 12(m) und das virtuelle 
private Netzwerk 15 zusammen, um einen Sicherheitstunnel 
durch das Internet 14 aufzubaucn. In dieser ersten Phase lic- 
fert das virtuelle private Netzwerk 15, insbesondere die Fi- 
20 rewall 30, die Identifizierung eines Namen-Servers 32. und 
es kann auch die den Verschlusselungs- und Entschliissel- 
ungsalgorithmus und -schliissel betreffende Information be- 
reitstellen, wie es oben beschrieben wurde. In der zweiten 
Phase, nachdem der Sicherheitstunnel eingerichtet wurde, 

25 kann die Vorrichtung 12(m) die wahrend der ersten Phase 
gelieferten Information im Zusammenhang mit der Erzeu- 
gung und Ubertragung von Nachrichtenpaketen an einen 
oder mehrere Server 31 (s) in dem virtuellen privaten Netz- 
werk 15 und bei dem notwendigen Umwandlungsvorgang 

30 der Klartext-Internetadressen zu Zahlen-Internetadressen 
aus dem Namen-Server 32, welcher durch die Firewall 30 
wahrend der ersten Phase identifiziert wurde, verwenden. 

Folglich erzeugt die Vorrichtung 12(ni) in der ersten (Si- 
cherheitstunnelaufbau)phase zu Beginn ein Nachrichtenpa- 

35 ket zur Ubertragung an die Firewall 30, welches einen Auf- 
bau eines Sicherheitstunnels anfordert. Das Nachrichtenpa- 
ket enthalt eine Zahlen-Intemetadresse fiir die Firewall, 
(welche durch den Bediener der Vorrichtung oder ein Pro- 
gramm bereitgestellt werden kann, welches durch die Vor- 

40 richtung 12(m) verarbeitet wird, oder durch den Namen-Ser- 
ver 17 bereitgestellt werden kann, nachdem eine Klartext- 
Internetadresse durch den Bediener oder ein Programm be- 
reitgestellt wurde), und welche insbesondere dazu dient, die 
Firewall 30 zu veranlassen, mit der Vorrichtung 12(m) einen 

45 Sicherheitstunnel aufzubauen. Falls die Firewall 30 die An- 
frage beziiglich des Sicherheitstunnelaufbaus akzeptiert und 
falls die Firewall 30 die Verschlusselungs- und Entschlus- 
selungsalgorithmen und -schliissel bereitstellt, so wie es 
oben angegeben wurde, erzeugt die Firewall 30 ein Ant- 

50 wortnachrichtenpaket zur Ubertragung an die Vorrichtung 
12(m), welches die Verschlusselungs- und Entschlussel- 
ungsalgorithmen und -schliissel identifiziert. Wie oben be- 
schrieben, wird dieses Antwortnachrichtenpaket nicht ver- 
schliisselt. Wenn die Vorrichtung 12(m) die Antwort emp- 

55 fangt, werden die Identifizierungen der Verschliisselungs- 
und Entschlusselungsalgorithmen und -schlussel in dem EP- 
Parameterspeicher 25 gespeichert. 

Zu einem spateren Zeitpunkt in der ersten Phase erzeugt 
die Firewall 30 auch ein Nachrichtenpaket zur Ubertragung 

60 an die Vorrichtung 12(m), welches die Zahlen-Internet- 
adresse des Namen-Servers 32 enthalt. Bei diesem Nach- 
richtenpaket wird der Abschnitt des Nachrichtenpakets, 
welcher die Zahlen-Internetadresse des Namen-Servers 32 
enthalt, unter Verwendung eines Verschlusselungsalgorith- 

65 nius und Vcrschliissclungsschlusscls verschliisselt, und dies 
kann unter Verwendung des Entschlusselungsalgorithmus 
und -schlussels, die durch das zuvor beschriebene Antwort- 
nachrichtenpaket geliefert wurden, wieder entschlusselt 
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werden. Diese Nachricht hat im allgenieinen die folgende 
Struktur: 

"<nA(FW).TTA(DHVl 2(m)><SFX:_TlIN> 

<ENCR«11A( FW),nA('DEV_l 2(m)x(DNS_ADRS:IIA(- 5 

NS_2>»" 

wobei 

(i) "IIA(FW)" die Que lien adresse darstellt, d. h. eine 10 
Zahlen- Interne tadresse der Firewall 30, 

(ii) M IIA(DEV_12(m)r die Zieladresse darstellt, d. h. 
die Zahlen-Intemetadresse der Vorrichtung 12 (m), 

(iii) M DNS_ADRS:HA(NS)" angibt, daB 
"IIA(NS_32) M die Zahlen-Intemetadresse des Narnen- 15 
Servers 32 darstellt, fur dessen Benutzung die Vorrich- 
tung 12(m) authorisiert ist, und 

(iv) "liN(*R<. . . >" bcdcutct, daB die Information, 
zwischen den Klammern "<" und ">" verschliisselt ist. 

20 

Der Anfan^s abschnitt der Nachricht 

M IIA(FW)JIA<D1:V ]2<m))>" bildet wenigstens einen Teil 
des Kopfahschniiis der Nachricht, und 
M <ENCR«II A( 1 -"W MI A< DH V 1 2( m))xIIA(NS>»" 
siellt wenigstens einen Teil des Daicnabschnitts der Nach- 25 
richt dar. "<SEC II JN>" stclli einen Hinweis in dem Kopf- 
abschnitt dar, welchcr angihi. dut> die Nachricht iiber den Si- 
cherheitstunnel ubertragen wird. wodurch auch angezeigt 
wird, daB der Daienabschnin der Nachricht verschlusselte 
Information enthalt. 30 

Nachdern die Vbrrichiung 12un) die Nachricht von der 
Firewall 30 empfangi. wie es oben beschrieben wurde, und 
weil das Nachricht cnpakci den <SEC_TUN> Hinweis ent- 
halt, iibertragt dcren Net/.werksehnittstelle 21 den ver- 
schliisselten Abschnitt 35 

"<ENCR«IIA(FW).IIA(DE:V. 12(m)><DNS_ADRS:ILA(- 
NS_32)»> M an den Sichcrheiis-Paketprozessor 26 zur Ver- 
arbeitung. Der Sieherheiis-Pakeiprozessor 26 entschlusselt 
den verschliisselten Abschnitt. bestimmt weiter, daB der Ab- 
schnitt "IIA(NS_32;r die Zahlen-Internetadresse des Na- 40 
men-Servers darstellt, insbesondere des Namen-Servers 32, 
fur dessen Benutzung die Vorrichtung 12(m) authorisiert ist, 
und speichert diese Adresse in dem IP-Par ameterspeic her 25 
zusammen mit einer Angabe, daB die dorthin gerichteten 
Nachrichtenpakete zu der Firewall 30 zu ubertragen sind, 45 
und daB die Daten in den Nachrichtenpaketen unter Verwen- 
dung des Verschliisselungsalgorithmus und -schliissels, die 
davor durch die Firewall 30 iibermittelt wurden, zu ver- 
schliisseln sind. Es versteht sich, daB aufgrund der Tatsache, 
daB die Zahlen-Intemetadresse des Namen-Servers 32 von 50 
der Firewall an die Vorrichtung 12(m) in verschliisselter 
Form ubertragen wird, diese vertraulich bleibt, selbst wenn 
das Paket durch einen Dritten abgefangen wird. 

In Abhangigkeit des speziellen Protokolls, welches fiir 
den Aufbau des Sicherheitstunnels verwendet wird, konnen 55 
die Firewall 30 und die Vorrichtung 12(m) auch Nachrich- 
tenpakete austauschen, welche andere Information enthalten 
als die oben beschriebenen. 

Wie oben erwahnt wurde, kann die Vorrichtung 12(m) in 
der zweiten Phase nach der Einrichtung des Sicherheitstun- 60 
nels die Information, welche wahrend der ersten Phase be- 
reitgestellt wurde, im Zusammenhang mit dem Erzeugen 
und Ubertragen von Nachrichtenpaketen zu einem oder 
mehreren der Server 31 (s) in dem virtuellen privaten Netz- 
wcrk 15 nutzen. Falls bci dicscn Opcrationcn der Bcdicncr 65 
einer Vorrichtung 12(m) oder ein Programrn, welches durch 
eine Vorrichtung 12(m) verarbeitet wird, mochte, daB die 
Vorrichtung 12(m) ein Nachrichtenpaket an einen Server 



31 (s) in dem virtuellen privaten Netzwerk 15 ubertragt, und 
falls der Bediener durch die Bedienerschnitlstelle 20 oder 
das Programrn eine Klartext-Internetadresse bereitstelh, 
wird zunachst die Vorrichtung 12(m), insbesondere der Pa- 
ketgenerator 22, best im men, ob der IP-Parameterspeicher 
25 dort in einem Cache eine Zahlen-Intemetadresse gespei- 
chert hat, welche zu der Klartext-Internetadresse gehort. 
Falls dies nicht der Fall ist, erzeugt der Paketgenerator 22 
ein Anfragenachrichtenpaket zur Ubertragung an den Na- 
rnen- Server 17, urn von diesem die zu der Klartext-Internet- 
adresse gehorige Zahlen-Intemetadresse anzufordern. Falls 
der Namen-Server 17 eine zu der Klartext-Internetadresse 
gehorige Zahlen-Internetadresse besitzt, wird dieser die 
Zahlen-Internetadrese an die Vorrichtung 12(m) liefern. Es 
versteht sich, daB dies nur erfolgen kann, wenn die Klartext- 
Internetadresse im Anfragenachrichtenpaket sowohl einer 
Vorrichtung 13 auBerhalb des virtuellen privaten Netzwer- 
kes 15 als auch cincm Server 32(s) in dem virtuellen priva- 
ten Netzwerk 15 zugeordnet wurde. Danach kann die Vor- 
richtung 12(m) die Zahlen-Internetadresse verwenden, um 
Nachrichtenpakete zur Ubertragung iiber das Internet zu er- 
zeugen, wie es oben beschrieben wurde. 

Falls andererseits angenommen wird, daB der Namen- 
Server 17 keine der Klartext-Internetadresse zugeordnete 
Zahlen-Internetadresse besitzt, wird der Namen-Server 17 
ein entsprechend lautendes Antwortnachrichtenpaket an die 
Vorrichtung 12(m) iibermitteln. Sodann erzeugt der Paket- 
generator 22 der Vorrichtung 12(m) ein Anfragenachrich- 
tenpaket zur Ubertragung an den nachsten Namen-Server, 
der in ihrem IP-Paranieterspeicher 25 identifiziert ist, um 
von diesem Namen-Server die der Klartext-Internetadresse 
zugeordnete Zahlen-Internetadresse anzufordern. Falls die- 
ser nachste Namen-Server der Namen-Server 32 ist, liefert 
der Paketgenerator 22 das Nachrichtenpaket an den Sicher- 
heits-Paketprozessor 26 zur weiteren Verarbeitung. Der Si- 
cherheits-Paketprozessor 26 erzeugt daraufhin ein Anfra- 
genachrichtenpaket zur Ubertragung iiber den Sicherheits- 
tunnel an die Firewall 30. Diese Nachricht hat im allgemei- 
nen folgende Struktur: 

M <IM(DEV_12(m)),IIA(FW)><SEC_TUN> 
<ENOl<<nA(DEV_12(m)),IIA(NS_32))><IIA„REQ>>>- 



wobei 



(i) M EA(DEV_12(m)) M die Quellenadresse darstellt, 
d. h. die Zahlen-Internetadresse der Vorrichtung 12(m), 

(ii) "rLACFWy die Zieladresse darstellt, d. h. die Zah- 
len-Internetadresse der Firewall 30, 

(iii) "HA(NS_32)" die Adresse des Namen-Servers 32 
darstellt, 

(iv) "«nA(DEV_12(m)),IIA(NS_32))><IIA_REQ>- 
»" das Anfragenachrichtenpaket darstellt, welches 
durch den Paketgenerator 22 erzeugt wird, wobei 
M <IIA(DEV_12(m)),IIA(NS_32)>' , den Kopfabschnitt 
des Anfragenachrichtenpakets und "<nA_REQ>" den 
Datenabschnitt des Anfragenachrichtenpakets darstellt, 

(v) "ENCIR<. . . .>" angibt, daB die Information zwi- 
schen den Klammern "<" und ">" verschliisselt ist, und 

(vi) VSEC_TUN>" einen Hinweis in dem Kopfab- 
schnitt des Nachrichtenpakets darstellt, welches durch 
den Sicherheitspaketgenerator 26 erzeugt wird und an- 
gibt, daB die Nachricht uber den Sicherheitstunnel 
ubertragen wird, wobei hicrdurch angegeben wird, daB 
der Datenabschnitt der Nachricht verschlusselte Infor- 
mation enthalt. 
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Wenn die Firewall 30 das durch den Sicherheitspaketge- 
nerator 26 erzeugte Anfragenachrichtenpaket empfangt, 
wird diese den verschlusselten Abschnitt des Nachrichten- 
pakets entschlusseln, um 
M «IIA(DEV_12(m)),nA(NS_32))xnA_REQ» M zu er- 
halten. Dies stellt das Anfragenachrichtenpaket dar, welches 
durch den Paketgenerator 22 erzeugt wird. Nachdem das 
Anfragenachrichtenpaket erhalten wurde, iibertragt die Fire- 
wall 30 dieses iiber die Ubertragungsverbindung 33 an den 
Namen-Server 32. In Abhangigkeit von dem Protokoll zur 
Ubertragung von Nachrichtenpaketen iiber die Ubertra- 
gungsverbindung 33 kann es bei diesem ProzeB fur die Fire- 
wall 30 notwendig sein, das Anfragenachrichtenpaket zu 
modifizieren, damit es dem ProtokolF der Ubertragungsver- 
bindung 33 entspricht. 

Nachdem der Namen-Server 32 das Anfragenachrichten- 
paket erhalten hat, wird dieser das Anfragenachrichtenpaket 
vcrarbcitcn, um zu bcstimmcn, ob cr cine dcr Klartext-Inter- 
netadresse, weiche in dem Anfragenachrichtenpaket gesen- 
det wird, zugeordnete Zahlen-Interneladresse besitzt. Falls 
der Namen-Server feststellt, daB er eine solche Zahlen-Inter- 
netadresse aufweist, wird dieser ein Antwortnachrichtenpa- 
ket zur Ubertragung an die Firewall erzeugen, welches die 
Zahlen-Internetadresse enthalt. Im allgemeinen hat das Ant- 
wortnachrichtenpaket die folgende Stmktur: 

H «HA(NS_32),nA(DEV_12(m)><IIA_RESP» M 
wobei 



18 



(i) *'IIA(NS_32) M die Quellenadresse darstellt, d. h. die 
Zahlen-Internetadresse des Namen-Servers 32, 

(ii) "IIA(DEV_12(m))" die Zieladresse darstellt, d. h. 
die Zahlen-Internetadresse der Vorrichtung 12cm), und 

(iii) "HAJRESP" die Zahlen-Internetadresse darstellt, 
weiche der Klartext-Internetadresse zugeordnet ist. 

Nachdem die Firewall 30 das Antwortnachrichtenpaket 
empfangen hat, und weil die Kommunikation mit der Vor- 
richtung 12(m) uber den dazwischenliegenden Sicherheits- 
tunnel stattfindet, verschlusselt die Firewall 30 das von dem 
Namen-Server 32 empfangene Antwortnachrichtenpaket 
und erzeugt ein Nachrichtenpaket zur Ubertragung an die 
Vorrichtung 12(m), welches das verschliisselte Antwort- 
nachrichtenpaket enthalt. Im allgemeinen hat das durch die 
Firewall 30 erzeugte Nachrichtenpaket die folgende Struk- 
tur: 

" <IIA (FW)JIA(DE V 1 2(m)xSEC_TUN)> 
<ENCR«nA(NS_32),nA(DEV_12(m))xIIA_RESP»- 



wobei 



(i) "IIA(FW) ,f die Quellenadresse darstellt, d. h. die 
Zahlen-Internetadresse der Firewall 30, 

(ii) "IIA(DEV_12(m))" die Zieladresse darstellt, d. h. 
die Zahlen-Internetadresse der Vorrichtung 12(m), 

(iii) \SEC_TTJN" einen Hinweis in dem Kopfabschnitt 
des Nachrichtenpakets darstellt, welches durch den Si- 
cherheitspaketgenerator 26 erzeugt wird, und angibt, 
daB die Nachricht uber den Sicherheitstunnel ubertra- 
gen wird, und wobei auch angegeben wird, daB der Da- 
tenabschnitt der Nachricht verschlusselte Information 
enthalt, 

(iv) "ENCR< >" angibt, daB die Information zwi- 

schen den Klammern "< M und ">" (was dem von dem 
Namen-Server 32 empfangenen Antwortnachrichten- 



paket entspricht) verschlusselt ist. 

Zusatzlich kann es je nach dem Protokoll zur Ubertra- 
gung von Nachrichtenpaketen iiber die Ubertragungsverbin- 
5 dung 33 fur die Firewall 30 notwendig sein, das Nachrich- 
tenpaket zu bearbeiten und/oder zu modifizieren, damit die- 
ses dem Protokoll des Internets 14 entspricht. 

Wenn die Vorrichtung 12(m) das Nachrichtenpaket von 
der Firewall 30 empfangt, wird das Nachrichtenpaket an den 
10 Sicherheits-Paketprozessor 26 geliefert. Der Sicherheitspa- 
ketprozessor 26 entschlusselt daraufhin den verschlusselten 
Abschnitt des Nachrichtenpakets. um die der Klartext-Inter- 
netadresse zugeordnete Zahlen-Internetadresse zu erhalten 
und ladt diese Information in den IP-Parameterspeicher 25. 
is Danach kann die Vorrichtung diese Zahlen-Internetadresse 
beim Erzeugen von Nachrichtenpaketen zur Ubertragung an 
den Server 31(s) verwenden, welcher zu der Klartext-Inter- 
netadresse gchdrt. 

Es versteht sich, daB, falls der Namen-Server 32 keine 
20 Zahlen-Internetadresse besitzt, weiche der durch die Vor- 
richtung 12(m) in dem Anfragenachrichtenpaket gelieferte 
Klartext-Internetadresse zugeordnet ist, dies der Namen- 
Server 32 in dem durch ihn erzeugten Antwortnachrichten- 
paket entsprechend anzeigen. Die Firewall 30 erzeugt dann 
25 in Reaktion auf das durch den Namen-Server 32 gelieferLe 
Antwortnachrichtenpaket auch ein Nachrichtenpaket zur 
Ubertragung an die Vorrichtung 12(m), welches einen ver- 
schlusselten Abschnitt enthalt. der das Antwortnachrichten- 
paket umfaBt, das durch den Namen-Server 32 erzeugt 
30 wurde. Nachdem die Vorrichtung 12(m) das Nachrichtenpa- 
ket empfangen hat, wird der verschlusselte Abschnitt durch 
den Sicherheitspaketprozessor 26 entschlusselt, welcher 
daraufhin den Paketgenerator 22 dariiber informiert, daB der 
Namen-Server 32 keine der Klartext-Internetadresse zuge- 
35 ordnete Zahlen-Internetadresse besitzt. Falls der IP-Parame- 
terspeicher 25 die Identifizierung eines anderen Namen-Ser- 
vers enthalt, erzeugt sodann der Paketgenerator 22 der Vor- 
richtung 12(m) ein Anfragenachrichtenpaket zur Ubertra- 
gung an den nachsten Namen-Server, der in deren IP-Para- 
40 meterspeicher 25 identifiziert ist, um von diesem Namen- 
Server die Zahlen-Internetadresse anzufordern, weiche der 
Klartext-Internetadresse zugeordnet ist. Falls andererseits 
der IP-Parameterspeicher 25 keine Identifizierung eines an- 
deren Namen-Servers enthalt, kann der Paketgenerator 22 
45 die Bedienerschnittstelle 20 oder ein Programm dariiber in- 
formieren, daB er nicht in der Lage ist, ein Nachrichtenpaket 
zur Ubertragung an eine Vorrichtung zu erzeugen, weiche 
der Klartext-Internetadresse zugeordnet ist, weiche durch 
die Bedienerschnittstelle 20 oder ein Programm eingegeben 
50 bzw. bereitgestellt wurde. 

Die Erfindung liefert eine Anzahl von Vorteilen. Insbe- 
sondere schafft die Erfindung ein System zum Vereinfachen 
der Kommunikation zwischen Vorrichtungen, weiche mit 
einem offentlichen Netzwerk verbunden sind, z. B. mit dem 
55 Internet 14, und Vorrichtungen, weiche mit privaten Netz- 
werken verbunden sind, z. B. mit dem virtuellen privaten 
Netzwerk 15, indem die Urnwandlung von Klartextadressen 
in Netzwerkadressen durch einen Namen-Server, der bevor- 
zugt iiber einen Sicherheitstunnel mit den privaten Netzwer- 
60 ken verbunden ist, ermoglicht wird. 

Es versteht sich, daB eine Vielzahl von Modifikationen an 
der im Zusammenhang mit Fig. 1 beschriebenen Anordnung 
durchgefuhrt werden konnen. Obwohl das Netzwerk 10 so 
beschrieben wurde, daB die Identifizierung der Verschlussel- 
65 ungs- und Entschlussclungsalgorithmcn und -schliisscl 
durch die Vorrichtung 12(m) und die Firewall 30 wahrend 
des Dialogs, wahrenddessen der Sicherheitstunnel einge- 
richtet wird, ausgetauscht wird, versteht es sich, daB bei- 
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spielsweise Information durch die Vorrichtung 12(m) und 
die Firewall 30 gelrennt von dem Aufbau eines solchen Si- 
cherheitstunnels bereitgestellt werden konnen. 

Obwohl die Erfindung im Zusammenhang niit. dem Inter- 
net beschrieben wurde, versteht es sich ferner, daB die Erfin- 5 
dung in Verbindung mil jedem, insbesondere globalen, 
Netzwerk verwendet werden kann. Obwohl die Erfindung 
irn Zusammenhang mit einem Netzwerk beschrieben wurde, 
welches ein System von Klartext-Netzwerkadressen bereit- 
stellt. versteht es sich ferner, daB die Erfindung nicht darauf 10 
beschrankt ist sondem in Verbindung mit jedem Netzwerk 
verwendet werden kann, welches irgendeine Form einer - 
den systemeigenen Netzwerkadressen iibergeordnete - Se- 
kundar-Netzwerkadresseneinrichtung oder vergleichbare 
nicht- formeller Netzwerkadresseneinrichtung vorsieht. 15 

Es versteht sich ferner, daB ein erfindung sgemaBes Sy- 
stem als ganzes oder in Teilen aus speziell hierfur geeigneter 
Hardware oder cincm allgcmcin gccignctcn Computcrsy- 
stem oder jeder Kombinauon davon aufgebaut werden kann, 
wobei jeder Abschnitt davon durch ein geeignetes Pro- 20 
gramm gesteuert werden kann. Jedes Programm kann als 
ganzes oder in Teilen einen Teil des Systems umfassen oder 
auf dem System in einer konventionellen Weise gespeichert 
sein, oder es kann als ganzes oder in Teilen in das System 
uber ein Netzwerk oder andere Mechanismen zur Uberlra- 25 
gung von Information in einer konventionellen Weise be- 
reitgestellt werden. Zusatzlich versteht es sich, daB das Sy- 
stem betrieben und/oder auf andere Art und Weise mittels 
Information gesteuert werden kann, welche durch einen Be- 
diener mittels Bedienereingabeelementen (nicht gezeigt) be- 30 
reitgestellt wird, welche direkt an das System angeschlossen 
sein konnen oder welche die Information iiber ein Netzwerk 
oder andere Mechanismen zur Ubertragung von Information 
in einer konventionellen Weise ubertragen konnen. 

Die vorstehende Beschreibung hat sich auf ein spezifi- 35 
sches Ausfuhrungsbeispiel der Erfindung bezogen. Es ver- 
steht sich jedoch, daB verschiedene Variationen und Modifi- 
kationen der Erfindung gemacht werden konnen, bei wel- 
chen einige oder alle der Vorteile der Erfindung erreicht 
werden. Diese und andere Variationen und Modifikationen 40 
fallen in den Schutzbereich der vorliegenden Erfindung, der 
durch die nachfolgenden Anspriiche bestimmt ist. 



Patentanspriiche 



45 



1. System umfassend ein virtuelles privates Netzwerk 
(15) und eine externe Vorrichtung (12 (m)), welche 
uber ein digitales Netzwerk (14) kommunizieren, wo- 
bei: 

das virtuelle private Netzwerk (15) eine Firewall (30), 50 
wenigstens eine interne Vorrichtung (31(s)) und einen 
Namen-Server (32) aufweist, welche jeweils eine Netz- 
werkadresse besitzen, wobei die interne Vorrichtung 
(31(s)) auch eine Sekundaradresse besitzt und der Na- 
men-Server (32) derart konfiguriert ist, daB er eine Zu- 55 
ordnung zwischen der Sekundaradresse und der Netz- 
werkadresse bereitstellt, 

die Firewall (30) derart konfiguriert ist, daB sie der ex- 
ternen Vorrichtung (12(m)) in Reaktion auf deren An- 
frage zum Aufbau einer Verbindung zur Firewall (30) 60 
die Netzwerkadresse des Namen-Servers (32) liefert, 
und 

die externe Vorrichtung (12(m)) derart konfiguriert ist, 
daB sie in Reaktion auf eine Anfrage zum Zugriff auf 
die interne Vorrichtung (31(s)), welche die Sckunda- 65 
radresse der interne n Vorrichtung (31 (s)) e nth alt, eine 
Netzwerkadressen-Anfragenachricht zur Ubertragung 
iiber die Verbindung an die Firewall (30) erzeugt, wel- 



che eine Auflosung der der Sekundaradresse zugeord- 
neten Netzwerkadresse anfordert. wobei die Firewall 
(30) derart konfiguriert ist, daB sie die Adressenauflo- 
sungsanfrage an den Namen-Server (32) uberrnittelt, 
der Namen-Server (32) derart konfiguriert ist, daB er 
die der Sekundaradresse zugeordnete Netzwerkadresse 
bereitstellt, und die Firewall (30) daraufhin die Netz- 
werkadresse in einer Netzwerkadressen- Ant wort nach- 
richt zur Ubertragung uber die Verbindung an die ex- 
terne Vorrichtung (12(rn)) bereitstellt. 

2. System nach Anspruch I, bei welchem die externe 
Vorrichtung (12(rn)) derart konfiguriert ist, daB sie die 
in der Netzwerkadressen- A ntwortnachricht bereitge- 
stellte Netzwerkadresse beim Erzeugen von wenig- 
stens einer Nachricht zur Ubertragung an die interne 
Vorrichtung (31(s)) verwendet. 

3. System nach Anspruch 1 oder 2, bei welchem die 
externe Vorrichtung (12(m)) derart konfiguriert ist, daB 
sie mit dem Netzwerk (14) durch einen Netzwerk-Ser- 
v ice- Provider (11) verbunden wird. 

4. System nach Anspruch 3, bei welchem die externe 
Vorrichtung (12(m)) derart konfiguriert ist, daB sie eine 
Kommunikationssitzung mit dem Netzwerk-Service- 
Provider (U) aufbau t, wobei der Netzwerk- Service- 
Provider (11) der extemen Vorrichlung (12(m)) die 
Identifizierung eines weiteren Namen-Servers uberrnit- 
telt, wobei der weitere Namen-Server derart konfigu- 
riert ist, daB er eine Zuordnung zwischen einer Sekun- 
daradresse und einer Netzwerkadresse fur wenigstens 
eine Vorrichtung bereitstellt. 

5. System nach einem der vorstehenden Anspriiche, 
bei welchem die externe Vorrichtung (12(m)) derart 
konfiguriert ist, daB sie eine Liste von Namen-Servern 
erhalt, welche der ex ternen Vorrichtung (12(m)) identi- 
fiziert wurden, und die externe Vorrichtung (12(rn)) die 
Namen-Server in der Liste nacheinander in Reaktion 
auf eine Anfrage zum Zugriff auf eine andere Vorrich- 
tung abfragt, wobei die Anfrage eine Sekundaradresse 
der anderen Vorrichtung en thai t, solange bis die ex- 
terne Vorrichtung (12(m)) eine Netzwerkadresse emp- 
fangt, wobei die externe Vorrichtung (12(m)) in jedem 
Abfragevorgang eine Netzwerkadressen-Anfrages- 
nachricht zur Ubertragung iiber das Netzwerk (14) er- 
zeugt, welche durch einen "der Namen-Server in der Li- 
ste zu beantworten ist, und von diesem eine Netzwerk- 
adressen- A ntwortnachricht empfangt. 

6. System nach einem der vorstehenden Anspriiche, 
bei welchem die Verbindung zwischen der externen 
Vorrichtung (12(m)) und der Firewall (30) ein Sicher- 
heitstunnel ist, in welchem wenigstens ein der zwi- 
schen der externen Vorrichtung (12(m)) und der Fire- 
wall (30) iibertragenen Nachrichten verschlusselt ist. 

7. Verfahren zum Betreiben eines Systems umfassend 
ein virtuelles privates Netzwerk (15) und eine externe 
Vorrichtung (12(m)), welche durch ein digitales Netz- 
werk (14) miteinander verbunden sind, wobei das vir- 
tuelle private Netzwerk (15) eine Firewall (30), wenig- 
stens eine interne Vorrichtung (31 (s)) und einen Na- 
men-Server (32) aufweist, welche jeweils eine Netz- 
werkadresse besitzen, wobei die interne Vorrichtung 
(31 (s)) auch eine Sekundaradresse besitzt, und der Na- 
men-Server (32) derart konfiguriert ist, daB er eine Zu- 
ordnung zwischen der Sekundaradresse und der Netz- 
werkadresse bereitstellt, wobei: 

A. in Reaktion auf cine Anfrage der externen 
Vorrichtung (12(m)) zum Aufbau einer Verbin- 
dung zur Firewall (30) die Firewall (30) der exter- 
nen Vorrichtung (12(m)) die Netzwerkadresse des 
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Namen-Servers (32) ubermittelt; und 
B. (i) in Reaktion auf eine Anfrage zum Zugriff 
auf die interne Vorrichtung (31(s)), welche die Se- 
kundaradresse der internen Vorrichtung (31 (s)) 
enthalt, die externe Vorrichtung (12(m)) eine 5 
Netzwerkadressen-Anfragenachricht zur Ubertra- 
gung uber die Verbindung an die Firewall (30) er- 
zeugt, welche eine Auflosung der Netzwerk- 
adresse, welche der Sekundaradresse zugeordnet 
ist, anfordert, 10 
(ii) die Firewall (30) die Adressenauflosungsan- 
frage an den Namen-Server (32) ubermittelt, (iii) 
der Namen-Server (32) die der Sekundaradresse 
zugeordnete Netzwerkadresse bereitstellt, und 
(iv) die Firewall (30) die Netzwerkadresse in ei- 15 
ncr Netzwerkadressen-Antwortnachricht zur 
Ubcrtragung liber die Verbindung an die externe 
Vorrichlung (12(m)) bereitstellt. 

8. Verlahren nach Anspruch 7, bei welchem die ex- 
terne Vorrichlung <I2«in) ferner die in der Netzwerk- 20 
adressen-Aniwortnaehrichl bereitgestellte Netzwerk- 
adresse beim Hr/eugen von wenigstens einer Nachricht 
zur Ubcrtragung an die inierne Vorrichtung (31(s)) ver- 
wendet. 

9. Verlahren nuch Anspruch 7 oder 8, bei welchem die 25 
externe Vorrichtung: <12<m>> mit dem Netzwerk (14) 
durch eincn Net /u erk-Ser\ ice-Provider (11) verbun- 
den werden kann. 

10. Verlahren nach Anspruch 9, bei welchem die ex- 
terne Vorrichtung <12<m)) cine Kommunikationssit- 30 
zung mit dem Nci/.wcrk-Scr\ ice-Provider (11) aufbaut, 
wobei der Nclzwerk-Scrv icc-Provider (11) der exter- 
nen Vorrichtung (I2(ni)> die Mentifizierung eines wei- 
teren Namen-Servers ubcnnittelt, wobei der weitere 
Namen-Server eine Zuordnung zwischen einer Sekun- 35 
daradresse und einer Netzwerkadresse fur wenigstens 
eine Vorrichtung berei isle lit. 

11. Verfahren nach einem der Anspriiche 7 bis 10, bei 
welchem die externe Vorrichtung (12(m)) eine Liste 
von Namen-Servern crhait, welche der externen Vor- 40 
richtung (12(m)) identihzicn wurden, und die externe 
Vorrichtung (12(m)) die Namen-Server in der Liste 
nacheinander in Reaktion auf eine Anfrage zum Zu- 
griff auf eine andere Vorrichtung abfragt, wobei die 
Anfrage eine Sekundaradresse der anderen Vorrichtung 45 
enthalt, solange bis die externe Vorrichtung (12(m)) 
eine Netzwerkadresse empfangt, wobei die externe 
Vorrichtung (12(m)) in jedem Abfragevorgang eine 
Netzwerkadressen-Anfragenachricht zur Ubertragung 
uber das Netzwerk (14) erzeugt, welche durch einen 50 
der Namen-Server in der Liste zu beantworten ist, und 
von diesem eine Netzwerkadressen-Antwortnachricht 
empfangt. 

12. Verfahren nach einem der Anspniche 7 bis 11, bei 
welchem die Verbindung zwischen der externen Vor- 55 
richtung (12(m)) und der Firewall (30) ein Sicherheits- 
tunnel ist, in welchem wenigstens ein Abschnitt der 
zwischen der externen Vorrichtung (12(m)) und der Fi- 
rewall (30) ubertragenen Nachrichten verschlusselt ist. 

13. Computerprogramm-Produkt zur gemeinsamen 60 
Verwendung mit einem virtuellen privaten Netzwerk 
(15) und einer externen Vorrichtung (12(m)), welche 
durch ein digitales Netzwerk (14) miteinander verbun- 
den sind, wobei das virtuelle private Netzwerk eine Fi- 
rewall (30), wenigstens cine interne Vorrichtung 65 
(31(s)) und einen Namen-Server (32) aufweist, welche 
jeweils eine Netzwerkadresse besitzen, wobei die in- 
terne Vorrichtung (31(s)) auch eine Sekundaradresse 
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besitzt, und der Namen-Server (32) derart konfiguriert 
ist, daB er eine Zuordnung zwischen der Sekundarad- 
resse und der Netzwerkadresse bereitstellt, wobei das 
Computerprogrammprodukt ein maschinenlesbares 
Medium mit folgenden Codes aufweist: 

A. ein Namen-Server-Identifizierungscodemo- 
duL welches veranlaBt, daB die Firewall (30) der 
externen Vorrichtung (12(m)) in Reaktion auf de- 
ren Anfrage zum Aufbau einer Verbindung zur Fi- 
rewall (30) die Netzwerkadresse des Namen-Ser- 
vers (32) ubermittelt, 

B. ein Codemodu! zur Erzeugung einer Netz- 
werkadressen-Anfragenachricht, welches veran- 
laBt, dafi die externe Vorrichtung (12(m)) in Reak- 
tion auf eine Anfrage zurn Zugriff auf die interne 
Vorrichtung (31(s)), welche die Sekundaradresse 
der internen Vorrichtung (31 (s)) enthalt, eine 
Nctzwcrkadrcsscn-Anfragcnachricht zur Ubertra- 
gung uber die Verbindung an die Firewall (30) er- 
zeugt, welche die Auflosung der der Sekundarad- 
resse zugeordneten Netzwerkadresse anfordert, 

C. ein Modul zur Ubermittlung einer Adressen- 
aunosungsanfrage, welches veranlaBt, daB die Fi- 
rewall (30) die Adressenauflosungsanfrage an den 
Namen-Server (32) uberiiiiUell, 

D. ein Namen-Server-Steuerungsmodul, welches 
veranlaBt, daB der Namen-Server (32) die der Se- 
kundaradresse zugeordnete Netzwerkadresse be- 
reitstellt, und 

E. ein Modul zur Ubermittlung einer Netzwerk- 
adressen-Antwortnachricht, welches veranlaBt, 
daB die Firewall (30) die Netzwerkadresse in einer 
Netzwerkadressen-Antwortnachricht zur Ubertra- 
gung uber die Verbindung an die externe Vorrich- 
tung (12(m)) bereitstellt. 

14. Computerprogramm-Produkt nach Anspruch 13, 
welches femer ein Netzwerkadressenverwendungsmo- 
dul aufweist, welches veranlaBt, daB die externe Vor- 
richtung (12(m)) die in der Netzwerkadressen-Ant- 
wortnachricht ubermittelte Netzwerkadresse beim Er- 
zeugen von wenigstens einer Nachricht zur Ubertra- 
gung an die interne Vorrichtung (31(s)) verwendet. 

15. Computerprogramm-Produkt nach Anspruch 13 
oder 14, welches ferner ein Netzwerk-Service-Provi- 
der-Steuerungsmodul aufweist, welches veranlaBt, daB 
die externe Vorrichtung (12(m)) mit dem Netzwerk 
(14) durch einen Netzwerk-Service-Provider (11) ver- 
bunden wird. 

16. Computerprogramm-Produkt nach Anspruch 15, 
bei welchem das Netzwerk-Service-Provider- Steue- 
rungsmodul ein Kommunikationssitzungsaufbaumodul 
umfaBt, welches veranlaBt, daB die externe Vorrichtung 
(12(rn)) mit dem Netzwerk-Service-Provider (11) eine 
Kommunikationssitzung aufbaut und von diesem eine 
Identifizierung von einem weiteren Namen-Server 
empfangt. 

17. Computerprogramm-Produkt nach einem der An- 
spriiche 13 bis 16, welches ferner ein Namen-Server- 
Abfragesteuerungsmodul aufweist, welches veranlaBt, 
daB die externe Vorrichtung (12(m)) eine Liste von Na- 
men-Servern erhalt, welche der externen Vorrichtung 
(12(m)) identifiziert wurden, und die Namen-Server in 
der Liste nacheinander in Reaktion auf eine Anfrage 
zum Zugriff auf eine andere Vorrichtung abfragt, wobei 
die Anfrage cine Sekundaradresse der anderen Vorrich- 
tung enthalt, solange bis die externe Vorrichtung 
(12(m)) eine Netzwerkadresse empfangt, und wobei 
die exteme Vorrichtung (12(m)) in jedem Abfragevor- 
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gang eine Netzwerkadressen-Anfragesnachricht zur 
Ubertragung uber das Netzwerk (14) erzeugt, welche 
durch einen der Nanien-Server in der Liste zu beant- 
worten ist, und von diesem eine Netzwerkadressen- 
Antwortnachricht empfangt. 5 
18. Computerprogramrn-Produkt nach einem der An- 
spriiche 13 bis 17, bei welchem die Verbindung zwi- 
schen der externen Vorrichtung (12(m)) und der Fire- 
wall (30) ein Sicherheits tunnel ist, in welchem wenig- 
stens ein Abschnitt der zwischen der externen Vorrich- 10 
tung (12(m)) und der Firewall (30) ubertragenen Nach- 
richten verschlusselt ist. 
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